-
-
Implementar una instancia de NetScaler VPX
-
Optimice el rendimiento de NetScaler VPX en VMware ESX, Linux KVM y Citrix Hypervisors
-
Mejore el rendimiento de SSL-TPS en plataformas de nube pública
-
Configurar subprocesos múltiples simultáneos para NetScaler VPX en nubes públicas
-
Instalar una instancia de NetScaler VPX en un servidor desnudo
-
Instalar una instancia de NetScaler VPX en Citrix Hypervisor
-
Instalación de una instancia de NetScaler VPX en VMware ESX
-
Configurar NetScaler VPX para usar la interfaz de red VMXNET3
-
Configurar NetScaler VPX para usar la interfaz de red SR-IOV
-
Configurar NetScaler VPX para usar Intel QAT para la aceleración de SSL en modo SR-IOV
-
Migración de NetScaler VPX de E1000 a interfaces de red SR-IOV o VMXNET3
-
Configurar NetScaler VPX para usar la interfaz de red de acceso directo PCI
-
-
Instalación de una instancia NetScaler VPX en la nube de VMware en AWS
-
Instalación de una instancia NetScaler VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de NetScaler VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales NetScaler VPX en la plataforma Linux-KVM
-
Aprovisionamiento del dispositivo virtual NetScaler mediante OpenStack
-
Aprovisionamiento del dispositivo virtual NetScaler mediante Virtual Machine Manager
-
Configuración de dispositivos virtuales NetScaler para que usen la interfaz de red SR-IOV
-
Configuración de dispositivos virtuales NetScaler para que usen la interfaz de red PCI Passthrough
-
Aprovisionamiento del dispositivo virtual NetScaler mediante el programa virsh
-
Administración de las máquinas virtuales invitadas de NetScaler
-
Aprovisionamiento del dispositivo virtual NetScaler con SR-IOV en OpenStack
-
-
Implementar una instancia de NetScaler VPX en AWS
-
Configurar las funciones de IAM de AWS en la instancia de NetScaler VPX
-
Implementación de una instancia independiente NetScaler VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad de VPX en la misma zona de disponibilidad de AWS
-
Alta disponibilidad en diferentes zonas de disponibilidad de AWS
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en distintas zonas de AWS
-
Implementación de una instancia NetScaler VPX en AWS Outposts
-
Proteja AWS API Gateway mediante el firewall de aplicaciones web de Citrix
-
Configurar una instancia de NetScaler VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de NetScaler VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de NetScaler VPX en Microsoft Azure
-
Arquitectura de red para instancias NetScaler VPX en Microsoft Azure
-
Configuración de varias direcciones IP para una instancia independiente NetScaler VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de NetScaler VPX para usar redes aceleradas de Azure
-
Configure los nodos HA-INC mediante la plantilla de alta disponibilidad de NetScaler con Azure ILB
-
Instalación de una instancia NetScaler VPX en la solución Azure VMware
-
Configurar una instancia independiente de NetScaler VPX en la solución Azure VMware
-
Configurar una instalación de alta disponibilidad de NetScaler VPX en la solución Azure VMware
-
Configurar el servidor de rutas de Azure con un par de alta disponibilidad de NetScaler VPX
-
Configurar GSLB en una configuración de alta disponibilidad activa en espera
-
Configuración de grupos de direcciones (IIP) para un dispositivo NetScaler Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementación de una instancia NetScaler VPX en Google Cloud Platform
-
Implementar un par de VPX de alta disponibilidad en Google Cloud Platform
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en Google Cloud Platform
-
Instalar una instancia de NetScaler VPX en VMware Engine de Google Cloud
-
Compatibilidad con escalado VIP para la instancia NetScaler VPX en GCP
-
-
Automatizar la implementación y las configuraciones de NetScaler
-
Actualización y degradación de un dispositivo NetScaler
-
Consideraciones de actualización para configuraciones con directivas clásicas
-
Consideraciones sobre la actualización de archivos de configuración personalizados
-
Consideraciones sobre la actualización: Configuración de SNMP
-
Compatibilidad con actualización de software en servicio para alta disponibilidad
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Equilibrio de carga del tráfico de plano de control basado en protocolos de diámetro, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
-
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de la configuración de autenticación, autorización y auditoría
-
Autorización del acceso de los usuarios a los recursos de aplicaciones
-
NetScaler como proxy del servicio de federación de Active Directory
-
NetScaler Gateway local como proveedor de identidad de Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solución de problemas relacionados con la autenticación y la autorización
-
-
-
-
Configurar una expresión de directiva avanzada: Cómo empezar
-
Expresiones de directiva avanzadas: trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: análisis de certificados SSL
-
Expresiones de directivas avanzadas: direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directivas avanzadas: funciones de análisis de transmisiones
-
Ejemplos de tutoriales de directivas avanzadas para la reescritura
-
-
-
Protecciones de nivel superior
-
Protección basada en gramática SQL para cargas útiles HTML y JSON
-
Protección basada en gramática por inyección de comandos para carga útil HTML
-
Reglas de relajación y denegación para gestionar ataques de inyección HTML SQL
-
Compatibilidad con palabras clave personalizadas para la carga útil HTML
-
Compatibilidad con firewall de aplicaciones para Google Web Toolkit
-
Comprobaciones de protección XML
-
Caso de uso: Vincular la directiva de Web App Firewall a un servidor virtual VPN
-
-
-
Administrar un servidor virtual de redirección de caché
-
Ver estadísticas del servidor virtual de redirección de caché
-
Habilitar o inhabilitar un servidor virtual de redirección de caché
-
Resultados directos de directivas a la caché en lugar del origen
-
Realizar una copia de seguridad de un servidor virtual de redirección de caché
-
Habilitar la comprobación de estado TCP externa para servidores virtuales UDP
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Descripción general del cluster
-
Administración del clúster de NetScaler
-
Grupos de nodos para configuraciones detectadas y parcialmente rayadas
-
Desactivación de la dirección en el plano posterior del clúster
-
Eliminar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de los errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos preparados para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso de clústeres
-
Migración de una configuración de HA a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para backplane
-
Conmutador común para cliente y servidor y conmutador dedicado para placa posterior
-
Supervisar servicios en un clúster mediante la supervisión de rutas
-
-
Configurar NetScaler como un solucionador de stubs con reconocimiento de seguridad no validante
-
Compatibilidad con tramas gigantes para DNS para gestionar respuestas de grandes tamaños
-
Configurar el almacenamiento en caché negativo de los registros DNS
-
Caso de uso: Configurar la función de administración automática de claves de DNSSEC
-
Caso de uso: Configurar la administración automática de claves DNSSEC en la implementación de GSLB
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteja una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico de clientes
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Utilizar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Gestionar el tráfico de clientes en función de la velocidad de tráfico
-
Utilizar un puerto de origen de un rango de puertos especificado para la comunicación de back-end
-
Configurar la persistencia IP de origen para la comunicación back-end
-
-
Configuración avanzada de equilibrio de carga
-
Aumenta gradualmente la carga en un nuevo servicio con un inicio lento a nivel de servidor virtual
-
Proteger aplicaciones en servidores protegidos contra los picos de tráfico
-
Habilitar la limpieza de las conexiones de servicios y servidores virtuales
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación de estado TCP externa para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Insertar la dirección IP del cliente en el encabezado de solicitud
-
Utilizar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de clientes inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en modo de Direct Server Return
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en modo en línea
-
Caso de uso 10: Equilibrio de carga de los servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar Citrix Virtual Desktops para el equilibrio de carga
-
Caso de uso 13: Configurar Citrix Virtual Apps and Desktops para equilibrar la carga
-
Caso de uso 14: Asistente de ShareFile para equilibrar la carga Citrix ShareFile
-
Caso práctico 15: Configurar el equilibrio de carga de capa 4 en el dispositivo NetScaler
-
-
Configurar para obtener el tráfico de datos NetScaler FreeBSD desde una dirección SNIP
-
-
-
Matriz de compatibilidad de certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chip SSL Intel Coleto
-
Compatibilidad con el módulo de seguridad de hardware Thales Luna Network
-
-
-
-
Configuración de un túnel de CloudBridge Connector entre dos centros de datos
-
Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS
-
Configuración de un túnel de CloudBridge Connector entre un centro de datos y Azure Cloud
-
Configuración del túnel CloudBridge Connector entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas de túnel CloudBridge Connector
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en distintas subredes
-
Limitación de las conmutaciones por error causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo NetScaler
-
Quitar y reemplazar un NetScaler en una configuración de alta disponibilidad
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurar DNSSEC
Realice los siguientes pasos para configurar DNSSEC:
- Habilite DNSSEC en el dispositivo NetScaler.
- Cree una clave de firma de zona y una clave de firma clave para la zona.
- Añada las dos teclas a la zona.
- Firme la zona con las llaves.
El dispositivo NetScaler no actúa como un solucionador de DNSSEC. El DNSSEC en el ADC solo se admite en los siguientes casos de implementación:
- ADNS: NetScaler es el ADNS y genera las firmas por sí mismo.
- Proxy: NetScaler actúa como un proxy de DNSSEC. Se supone que el NetScaler se coloca delante de los servidores ADNS/LDNS en un modo confiable. El ADC actúa únicamente como una entidad de almacenamiento en caché proxy y no valida ninguna firma.
Habilitar y inhabilitar DNSSEC
Habilite DNSSEC en NetScaler para que el ADC responda a los clientes compatibles con DNSSEC. De forma predeterminada, DNSSEC está activado.
Puede inhabilitar la función DNSSEC si no desea que NetScaler responda a los clientes con información específica de DNSSEC.
Habilitar o inhabilitar DNSSEC mediante la CLI
En la línea de comandos, escriba los siguientes comandos para habilitar o inhabilitar DNSSEC y comprobar la configuración:
- set dns parameter -dnssec ( ENABLED | DISABLED )
- show dns parameter
<!--NeedCopy-->
Ejemplo:
> set dns parameter -dnssec ENABLED
Done
> show dns parameter
DNS parameters:
DNS retries: 5
.
.
.
DNSEC Extension: ENABLED
Max DNS Pipeline Requests: 255
Done
<!--NeedCopy-->
Habilitar o inhabilitar DNSSEC mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > DNS.
- En el panel de detalles, haga clic en Cambiar la configuración de DNS.
- En el cuadro de diálogo Configurar parámetros de DNS, active o desactive la casilla Habilitar extensión DNSSEC.
Crear claves DNS para una zona
Para cada zona DNS que quiera firmar, debe crear dos pares de claves asimétricas. Un par, denominado clave de firma de zona (ZSK), se utiliza para firmar todos los conjuntos de registros de recursos de la zona. El segundo par se denomina clave de firma clave (KSK) y se usa para firmar solo los registros de recursos DNSKEY de la zona.
Cuando se crean el ZSK y el KSK, suffix.key se agrega a los nombres de los componentes públicos de las claves. Se adjunta suffix.private a los nombres de sus componentes privados. La adición se realiza automáticamente.
NetScaler también crea un registro de firmantes delegados (DS) y agrega el sufijo .ds al nombre del registro. Si la zona principal es una zona firmada, debe publicar el registro DS en la zona principal para establecer la cadena de confianza.
Al crear una clave, la clave se almacena en el directorio /nsconfig/dns/, pero no se publica automáticamente en la zona. Después de crear una clave mediante el comando create dns key, debe publicar explícitamente la clave en la zona mediante el comando add dns key. El proceso de generación de una clave es independiente del proceso de publicación de la clave en una zona para que pueda utilizar medios alternativos para generar claves. Por ejemplo, puede importar claves generadas por otros programas de generación de claves (comobind-keygen) mediante Secure FTP (SFTP) y, a continuación, publicar las claves en la zona. Para obtener más información sobre cómo publicar una clave en una zona, consulte Publicar una clave DNS en una zona.
Realice los pasos descritos en este tema para crear una clave de firma de zona y, a continuación, repita los pasos para crear una clave de firma de clave. El ejemplo que sigue a la sintaxis del comando crea primero un par de claves de firma de zona para la zona example.com. A continuación, el ejemplo usa el comando para crear un par de claves de firma de claves para la zona.
A partir de la versión 13.0, compilación 61.x, el dispositivo NetScaler ahora admite algoritmos criptográficos más sólidos, como RSASHA256 y RSASHA512, para autenticar una zona DNS. Anteriormente, solo se admitía el algoritmo RSASHA1.
Crear una clave DNS mediante la CLI
En la línea de comandos, escriba:
create dns key -zoneName <string> -keyType <keyType> -algorithm <algorithm> -keySize <positive_integer> -fileNamePrefix <string>
Ejemplo:
> create dns key -zoneName example.com -keyType zsk -algorithm RSASHA256 -keySize 1024 -fileNamePrefix example.com.zsk.rsasha1.1024
File Name: /nsconfig/dns/example.com.zsk.rsasha1.1024.key (public); /nsconfig/dns/example.com.zsk.rsasha1.1024.private (private); /nsconfig/dns/example.com.zsk.rsasha1.1024.ds (ds)
This operation may take some time, Please wait...
Done
> create dns key -zoneName example.com -keyType ksk -algorithm RSASHA512 -keySize 4096 -fileNamePrefix example.com.ksk.rsasha1.4096
File Name: /nsconfig/dns/example.com.ksk.rsasha1.4096.key (public); /nsconfig/dns/example.com.ksk.rsasha1.4096.private (private); /nsconfig/dns/example.com.ksk.rsasha1.4096.ds (ds)
This operation may take some time, Please wait...
Done
<!--NeedCopy-->
Crear una clave DNS mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > DNS.
- En el área de detalles, haga clic en Crear clave DNS.
-
Introduzca los valores de los distintos parámetros y haga clic en Crear.
Nota: Para modificar el prefijo del nombre de archivo de una clave existente:
- Haga clic en la flecha situada junto al botón Examinar.
- Haga clic en Local o Dispositivo (en función de si la clave existente está almacenada en el equipo local o en el directorio
/nsconfig/dns/del dispositivo) - Busque la ubicación de la clave y, a continuación, haga doble clic en ella. El cuadro Prefijo del nombre de archivo se rellena únicamente con el prefijo de la clave existente. Modifique el prefijo en consecuencia.
Publicar una clave DNS en una zona
Una clave (clave de firma de zona o clave de firma de clave) se publica en una zona añadiendo la clave a NetScaler. Se debe publicar una clave en una zona antes de firmarla.
Antes de publicar una clave en una zona, la clave debe estar disponible en el directorio /nsconfig/dns/. Si ha creado la clave DNS en otro equipo (por ejemplo, mediante el programa bind-keygen), asegúrese de agregar la clave al directorio /nsconfig/dns/. A continuación, publique la clave en la zona. Utilice la GUI de ADC para agregar la clave al directorio /nsconfig/dns/. O bien, utilice algún otro programa para importar la clave al directorio, como el FTP seguro (SFTP).
Utilice el comando add dns key para cada par de claves públicas y privadas que quiera publicar en una zona determinada. Si ha creado un par ZSK y un par KSK para una zona, utilice el comando add dns key para publicar primero uno de los pares de claves de la zona. Repita el comando para publicar el otro par de claves. Por cada clave que publique en una zona, se crea un registro de recursos DNSKEY en la zona.
El ejemplo que sigue a la sintaxis del comando publica primero el par de claves de firma de zona (que se creó para la zona example.com) en la zona. A continuación, el ejemplo usa el comando para publicar el par de claves de firma de claves en la zona.
Publicar una clave en una zona mediante la CLI
En la línea de comandos, escriba el siguiente comando para publicar una clave en una zona y comprobar la configuración:
- add dns key <keyName> <publickey> <privatekey> [-expires <positive_integer> [<units>]] [-notificationPeriod <positive_integer> [<units>]] [-TTL <secs>]
- show dns zone [<zoneName> | -type <type>]
<!--NeedCopy-->
Ejemplo:
> add dns key example.com.zsk example.com.zsk.rsasha1.1024.key example.com.zsk.rsasha1.1024.private -expires 121 -TTL 5
Done
> add dns key example.com.ksk example.com.ksk.rsasha1.4096.key example.com.ksk.rsasha1.4096.private -expires 121 -TTL 5
Done
> show dns zone example.com
Zone Name : example.com
Proxy Mode : NO
Domain Name : example.com
Record Types : NS SOA DNSKEY
Domain Name : ns1.example.com
Record Types : A
Domain Name : ns2.example.com
Record Types : A
Done
<!--NeedCopy-->
Publicar una clave en una zona DNS mediante la interfaz gráfica de usuario
Vaya a Administración del tráfico > DNS > Claves.
Nota: Para la clave pública y la clave privada, para agregar una clave que esté almacenada en el equipo local, haga clic en la flecha situada junto al botón Examinar, haga clic en Local, busque la ubicación de la clave y, a continuación, haga doble clic en la clave.
Configurar una clave DNS
Puede configurar los parámetros de una clave que se ha publicado en una zona. Puede modificar el período de caducidad, el período de notificación y los parámetros de tiempo de vida (TTL) de la clave. Si cambia el período de caducidad de una clave, el dispositivo vuelve a firmar automáticamente todos los registros de recursos de la zona con la clave. La nueva firma se produce si la zona está firmada con una clave determinada.
Configurar una clave mediante la CLI
En la línea de comandos, escriba el siguiente comando para configurar una clave y comprobar la configuración:
- set dns key <keyName> [-expires <positive_integer> [<units>]] [-notificationPeriod <positive_integer> [<units>]] [-TTL <secs>]
- show dns key [<keyName>]
<!--NeedCopy-->
Ejemplo:
> set dns key example.com.ksk -expires 30 DAYS -notificationPeriod 3 DAYS -TTL 3600
Done
> show dns key example.com.ksk
1) Key Name: example.com.ksk
Expires: 30 DAYS Notification: 3 DAYS TTL: 3600
Public Key File: example.com.ksk.rsasha1.4096.key
Private Key File: example.com.ksk.rsasha1.4096.private
Done
<!--NeedCopy-->
Configurar una clave mediante la interfaz gráfica
-
Vaya a Administración del tráfico > DNS > Claves.
-
En el panel de detalles, haga clic en la clave que quiera configurar y, a continuación, haga clic en Abrir.
-
En el cuadro de diálogo Configurar clave DNS, modifique los valores de los siguientes parámetros como se muestra:
- Caduca: caduca
- Período de notificación: notificationPeriod
- TTL—TTL
-
Haga clic en Aceptar.
Firmar y anular la firma de una zona DNS
Para proteger una zona DNS, debe firmar la zona con las claves que se han publicado en la zona. Al firmar una zona, NetScaler crea un registro de recursos de Next Secure (NSEC) para cada nombre de propietario. A continuación, utiliza la clave de firma clave para firmar el conjunto de registros de recursos DNSKEY. Por último, utiliza el ZSK para firmar todos los conjuntos de registros de recursos de la zona, incluidos los conjuntos de registros de recursos DNSKEY y los conjuntos de registros de recursos NSEC. Cada operación de firma da como resultado una firma para los conjuntos de registros de recursos de la zona. La firma se captura en un nuevo registro de recursos denominado registro de recursos RRSIG.
Después de firmar una zona, guarde la configuración.
Firmar una zona mediante la CLI
En la línea de comandos, escriba el siguiente comando para firmar una zona y comprobar la configuración:
- sign dns zone <zoneName> [-keyName <string> ...]
- show dns zone [<zoneName> | -type (ADNS | PROXY | ALL)]
- save config
<!--NeedCopy-->
Ejemplo:
> sign dns zone example.com -keyName example.com.zsk example.com.ksk
Done
> show dns zone example.com
Zone Name : example.com
Proxy Mode : NO
Domain Name : example.com
Record Types : NS SOA DNSKEY RRSIG NSEC
Domain Name : ns1.example.com
Record Types : A RRSIG NSEC
Domain Name : ns2.example.com
Record Types : A RRSIG
Domain Name : ns2.example.com
Record Types : RRSIG NSEC
Done
> save config
Done
<!--NeedCopy-->
Anular la firma de una zona mediante la CLI
En la línea de comandos, escriba el siguiente comando para anular la firma de una zona y comprobar la configuración:
- unsign dns zone <zoneName> [-keyName <string> ...]
- show dns zone [<zoneName> | -type (ADNS | PROXY | ALL)]
<!--NeedCopy-->
Ejemplo:
> unsign dns zone example.com -keyName example.com.zsk example.com.ksk
Done
> show dns zone example.com
Zone Name : example.com
Proxy Mode : NO
Domain Name : example.com
Record Types : NS SOA DNSKEY
Domain Name : ns1.example.com
Record Types : A
Domain Name : ns2.example.com
Record Types : A
Done
<!--NeedCopy-->
Firmar o anular la firma de una zona mediante la interfaz gráfica
- Vaya a Administración del tráfico > DNS > Zonas.
- En el panel de detalles, haga clic en la zona que quiera firmar y, a continuación, en Firmar/anular firma.
- En el cuadro de diálogo Firmar/anular la zona DNS, realice una de las siguientes acciones:
-
Para firmar la zona, active las casillas de verificación de las claves (clave de firma de zona y clave de firma de clave) con las que desea firmar la zona.
Puede firmar la zona con más de una clave de firma de zona o un par de claves de firma de claves.
-
Para anular la firma de la zona, desactive las casillas de verificación de las claves (clave de firma de zona y clave de firma de clave) con las que quiera anular la firma de la zona.
Puede anular la firma de la zona con más de una clave de firma de zona o un par de claves de firma de claves.
-
- Haga clic en Aceptar.
Ver los registros NSEC de un registro determinado en una zona
Puede ver los registros NSEC que NetScaler crea automáticamente para cada nombre de propietario de la zona.
Ver el registro NSEC de un registro determinado en una zona mediante la CLI
En la línea de comandos, escriba el siguiente comando para ver el registro NSEC de un registro determinado de una zona:
show dns nsecRec [<hostName> | -type (ADNS | PROXY | ALL)]
Ejemplo:
> show dns nsecRec example.com
1) Domain Name : example.com
Next Nsec Name: ns1.example.com
Record Types : NS SOA DNSKEY RRSIG NSEC
Done
<!--NeedCopy-->
Ver el registro NSEC de un registro determinado en una zona mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > DNS > Registros > Próximos registros seguros.
- En el panel de detalles, haga clic en el nombre del registro del que desea ver el registro NSEC. El registro NSEC del registro que seleccione se muestra en el área de detalles.
Eliminar una clave DNS
Elimine una clave de la zona en la que está publicada cuando la clave haya caducado o si la clave se ha visto comprometida. Cuando eliminas una clave de la zona, la zona se desfirma automáticamente con la clave. Al eliminar la clave con este comando, no se eliminan los archivos de clave presentes en el directorio /nsconfig/dns/. Si los archivos clave ya no son necesarios, deben eliminarse explícitamente del directorio.
Elimine una clave de NetScaler mediante la CLI
En la línea de comandos, escriba el siguiente comando para eliminar una clave y comprobar la configuración:
- rm dns key <keyName>
- show dns key <keyName>
<!--NeedCopy-->
Ejemplo:
> rm dns key example.com.zsk
Done
> show dns key example.com.zsk
ERROR: No such resource [keyName, example.com.zsk]
<!--NeedCopy-->
Elimine una clave de NetScaler mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > DNS > Claves.
- En el panel de detalles, haga clic en el nombre de la clave que quiera quitar del ADC y, a continuación, haga clic en Eliminar.
Revocar una clave DNS
Si bien la transferencia de claves suele programarse con antelación, a veces es necesario transferir la clave inmediatamente si se sospecha que la clave está en peligro. En esos casos, la clave comprometida debe eliminarse rápidamente antes de poder activar la nueva clave. Para garantizar una transición fluida, se recomienda mantener una clave secundaria lista, que se puede activar inmediatamente en caso de que la clave se vea comprometida. Al utilizar el método de revocación de clave, puede ahorrar tiempo al activar la clave secundaria y eliminar la clave comprometida.
Nota:
Si revoca la clave, permanecerá en el sistema a menos que la elimine de forma explícita. Dado que la opción de transferencia automática está configurada, el sistema transferirá automáticamente la clave después de la fecha de caducidad configurada si no la elimina manualmente. Durante el proceso de transferencia automática, se creará una nueva clave para que la utilices en función de sus necesidades.
Habilitar la revocación mediante la CLI
En el símbolo del sistema, escriba:
set dns key <keyName> [-revoke]
Ejemplo:
Establecer la clave dns secure.example.zsk -revoke
Habilitar la revocación mediante la GUI
- Vaya a Administración del tráfico > DNS > Claves.
- En el panel de detalles, haga clic en la clave que quiera configurar y, a continuación, haga clic en Abrir.
- En la página Configurar clave DNS, seleccione o desactive Revocar.
- Haga clic en OK.
Transferencia automática de llaves
En NetScaler, puede automatizar el proceso de transferencia de claves en función del período de frecuencia configurado. Al automatizar el proceso de transferencia, puede descartar la posibilidad de perder la transferencia de claves. NetScaler se encarga de crear claves , publicar, activar, firmar y anular la firma de la clave y eliminar la clave antigua automáticamente si la opción de transferencia automática está habilitada. Además, se envía una notificación SNMP sobre la adición, activación y eliminación de la clave anterior.
Nota:
Si el parámetro de transferencia de zona está habilitado en los sitios GSLB, las claves de transferencia se transfieren a todos los sitios GSLB.
Si vas a actualizar desde una compilación que no admite la transferencia de zona a una que sí la admite, habilita la función de transferencia para una clave existente. Antes de habilitar la opción de transferencia de claves, asegúrese de que la clave no haya caducado.
Configurar la transferencia automática de claves mediante la CLI
En la línea de comandos, escriba:
set dns key <keyName> [-autoRollover (ENABLED | DISABLED)] [-RolloverMethod <PrePublication | DoubleSignature | DoubleRRset>]
<!--NeedCopy-->
Ejemplo:
Set dns key secure.example.zsk – autoRollover Enabled -RolloverMethod Prepublication
Configurar la transferencia automática de claves mediante la GUI
- Vaya a Administración del tráfico > DNS > Claves.
- En el panel de detalles, haga clic en la clave que quiera configurar y, a continuación, haga clic en Abrir.
- En la página Configurar clave DNS, actualice los siguientes parámetros:
- Transferencia automática: habilite la opción para automatizar la transferencia de claves.
- Método de reinversión: seleccione un método de reinversión.
- Haga clic en OK.
Alarma SNMP
puede habilitar la alarma SNMP para los eventos de claves DNSSEC cuando la renovación automática está habilitada. Al habilitar una alarma SNMP, NetScaler genera la alarma correspondiente (DNSSEC-KEY-AUTOMGMT-STATUS-SUCCESS o DNSSEC-KEY-AUTOMGMT-STATUS-FAILURE) en función de si el evento se ha realizado correctamente o ha fallado. Por ejemplo, cuando crea una clave DNSSEC y el evento de creación se realiza correctamente, se genera una alarma DNSSEC-KEY-AUTOMGMT-STATUS-SUCCESS.
Para obtener más información sobre la alarma SNMP, consulte [Configuración de NetScaler para generar trampas SNMP] (/en-us/citrix-adc/current-release/system/snmp/generating-snmp-traps-on-citrix-adc.html)
Transferencia de zona DNS
Para sincronizar las claves DNSSEC con otros servidores DNS, debe habilitar el parámetro Zone Transfer. La sincronización de las claves de un servidor DNS con otros servidores DNS del sitio GSLB solo es posible si la opción AutomaticConfigSync está habilitada. Para obtener más información sobre la sincronización en tiempo real, consulte Sincronización en tiempo real entre sitios que participan en GSLB. La transferencia de zona DNS es posible en Netscaler, donde GSLB está configurado para cada servidor DNS en una ubicación diferente.
Para obtener más información sobre la sincronización, consulte Sincronizar la configuración en una configuración de GSLB.
La transferencia de zona DNS es posible en NetScaler, donde está configurado GSLB. Asegúrese de configurar GSLB para cada servidor DNS en una ubicación diferente.
Habilitar o inhabilitar la transferencia de zona mediante la CLI
En la línea de comandos, escriba:
set dns parameter - ZoneTransfer (ENABLED | DISABLED)
Ejemplo:
set dns parameter - ZoneTransfer ENABLED
Done
<!--NeedCopy-->
Habilitar o inhabilitar la transferencia de zonas mediante la GUI
- Vaya a Administración del tráfico > DNS.
- En el panel de detalles, en Configuración, haga clic en Cambiar la configuración de DNS.
- En la página Configurar parámetros de DNS, seleccione o desactive Zone Transfer.
Compartir
Compartir
En este artículo
- Habilitar y inhabilitar DNSSEC
- Crear claves DNS para una zona
- Publicar una clave DNS en una zona
- Configurar una clave DNS
- Firmar y anular la firma de una zona DNS
- Ver los registros NSEC de un registro determinado en una zona
- Eliminar una clave DNS
- Revocar una clave DNS
- Transferencia automática de llaves
- Alarma SNMP
- Transferencia de zona DNS
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.