ADC

Mantenimiento de zona

Desde la perspectiva de DNSSEC, el mantenimiento de la zona implica transferir las claves de firma de zona y las claves de firma de claves cuando la caducidad de la clave es inminente. Estas tareas de mantenimiento de zonas se pueden realizar manualmente o puede automatizar el proceso habilitando la función de reinversión automática. Cuando se automatiza, la zona se vuelve a firmar automáticamente. Sin embargo, es necesaria la intervención manual para actualizar el registro DS en la zona principal.

Volver a firmar una zona actualizada

Cuando se actualiza una zona (agregar un registro o modificar un registro existente), el dispositivo vuelve a firmar automáticamente el registro nuevo (o modificado). Si una zona contiene varias claves de firma de zona, el dispositivo vuelve a firmar el registro nuevo (o modificado) con la clave utilizada para firmar la zona.

Transferencia de zona en GSLB

La actualización de una clave DNS en todos los sitios de GSLB puede llevar mucho tiempo y existe la posibilidad de que se pierda una actualización en uno o más sitios de GSLB. Para evitar que esto ocurra, puede usar la opción de transferencia de zona para sincronizar las claves DNS en otros sitios GSLB después de actualizarlas en un servidor DNS. Cuando la transferencia de zonas está habilitada, todos los registros de configuración de DNS relacionados con todas las zonas se sincronizan con otros sitios de GSLB.

Nota:

La configuración de zona o DNSSEC es opcional para los dominios GSLB.

Para configurar la transferencia de zona, consulte Configurar DNSSEC.

Pase el cursor sobre las claves DNSSEC

Nota: transfiera manual o automáticamente las claves DNSSEC (KSK, ZSK) antes de que caduquen.

En NetScaler, puede utilizar los métodos de publicación previa y firma doble para transferir la clave de firma de zona y la clave de firma de clave. Encontrará más información sobre estos dos métodos de transferencia en la RFC 4641, “Prácticas operativas de DNSSEC”.

Los siguientes temas asignan los comandos del ADC a los pasos de los procedimientos de transferencia descritos en el RFC 4641.

La notificación de caducidad de la clave se envía a través de una captura SNMP llamada dnskeyExpiry. Se envían tres variables MIB, DNSKeyName, DNSKeyTimeToExpirate y DNSKeyUnitsSofExpirate junto con la captura SNMP de DNSKeyExpirate. Para obtener más información, consulte la referencia de OID de SNMP de NetScaler en la referencia de OID de SNMP de NetScaler 12.0. Esta alarma SNMP se envía solo cuando la opción de transferencia automática de teclas no está habilitada.

Transferencia automática de llaves

La automatización de la transferencia de claves elimina la necesidad de llevar un registro de la fecha de caducidad de la clave y las posibilidades de que se pierda la transferencia de claves. Al crear una clave nueva, puede automatizar el proceso de transferencia de claves en una fecha programada. Para configurar una transferencia automática de claves, consulte ConfigurarDNSSEC.

Prepublicar el rollover de claves

RFC 4641, “Prácticas operativas de DNSSEC” define cuatro etapas para el método de conversión de clave previa a la publicación: inicial, nuevo DNSKEY, RRSIGs nuevos y eliminación de DNSKEY. Cada etapa está asociada a un conjunto de tareas que debe realizar en el ADC. Las siguientes son las descripciones de cada etapa y las tareas que debe realizar. El procedimiento de transferencia que se describe aquí se puede utilizar tanto para las claves de firma de claves como para las claves de firma de zona.

  • Etapa 1: inicial. La zona contiene solo los conjuntos de claves con los que se ha firmado actualmente la zona. El estado de la zona en la fase inicial es el estado de la zona justo antes de comenzar el proceso de transferencia de claves.

    Ejemplo:

    Considere la clave example.com.zsk1, con la que se firma la zona example.com. La zona contiene solo los RRSIG generados por la clave example.com.zsk1, que está a punto de caducar. La clave de firma de claves es example.com.ksk1.

  • Etapa 2: Nuevo DNSKEY. Se crea y publica una nueva clave en la zona. Es decir, la clave se agrega al ADC, pero la zona no se firma con la nueva clave hasta que se complete la fase previa a la tirada. En esta etapa, la zona contiene la clave antigua, la clave nueva y los RRSIG generados por la clave anterior. Al publicar la nueva clave durante toda la fase previa a la publicación, el registro de recursos DNSKEY correspondiente al tiempo de propagación de la nueva clave a los servidores de nombres secundarios.

    Ejemplo:

    Se agrega una nueva clave example.com.zsk2 a la zona example.com. La zona no se firma con example.com.zsk2 hasta que se complete la fase previa a la tirada. La zona example.com contiene registros de recursos DNSKEY para example.com.zsk1 y example.com.zsk2.

    Comandos de NetScaler:

    Realice las siguientes tareas en NetScaler:

    • Cree una clave DNS mediante el comando create dns key.

      Para obtener más información sobre cómo crear una clave DNS, incluido un ejemplo, consulte Crear claves DNS para una zona.

    • Publique la nueva clave DNS en la zona mediante el comando add dns key.

      Para obtener más información sobre cómo publicar la clave en la zona, incluido un ejemplo, consulte Publicar una clave DNS en una zona.

  • Etapa 3: Nuevos RRSIG. La zona se firma con la nueva clave DNS y, a continuación, se desfirma con la clave DNS anterior. La clave DNS antigua no se elimina de la zona y permanece publicada hasta que caduquen los RRSIG generados por la clave anterior.

    Ejemplo:

    La zona se firma con example.com.zsk2 y, a continuación, se desfirma con example.com.zsk1. La zona seguirá publicando example.com.zsk1 hasta que caduquen los RRSIG generados por example.com.zsk1.

    Comandos de NetScaler:

    Realice las siguientes tareas en NetScaler:

    • Firme la zona con la nueva clave DNS mediante el comando sign dns zone.
    • Anule la firma de la zona con la clave DNS antigua mediante el comando unsign dns zone.

    Para obtener más información sobre cómo firmar y anular la firma de una zona, incluidos ejemplos, consulte Firmar y anular la firma de una zona DNS.

  • Etapa 4: Eliminación de DNSKEY. Cuando los RRSIG generados por la clave DNS anterior caducan, la clave DNS anterior se elimina de la zona.

    Ejemplo:

    La antigua clave DNS example.com.zsk1 se elimina de la zona example.com.

    Comandos de NetScaler

    En el ADC, quite la clave DNS antigua mediante el comando rm dns key. Para obtener más información sobre cómo quitar una clave de una zona, incluido un ejemplo, consulte Eliminar una clave DNS.

Rollover de clave de firma doble

El RFC 4641, “Prácticas operativas de DNSSEC”, define tres etapas para la transferencia de claves de doble firma: inicial, nueva de DNSKEY y eliminación de DNSKEY. Cada etapa está asociada a un conjunto de tareas que debe realizar en el ADC. Las siguientes son las descripciones de cada etapa y las tareas que debe realizar. El procedimiento de transferencia que se describe aquí se puede utilizar tanto para las claves de firma de claves como para las claves de firma de zona.

  • Etapa 1: inicial. La zona contiene solo los conjuntos de claves con los que se ha firmado actualmente la zona. El estado de la zona en la fase inicial es el estado de la zona justo antes de comenzar el proceso de transferencia de claves.

    Ejemplo:

    Considere la clave example.com.zsk1, con la que se firma la zona example.com. La zona contiene solo los RRSIG generados por la clave example.com.zsk1, que está a punto de caducar. La clave de firma de claves es example.com.ksk1.

  • Etapa 2: Nuevo DNSKEY. La nueva clave se publica en la zona y la zona se firma con la nueva clave. La zona contiene los RRSIG generados por las claves antigua y nueva. La duración mínima durante la que la zona debe contener ambos conjuntos de RRSIG es el tiempo necesario para que caduquen todos los RRSIG.

    Ejemplo:

    Se agrega una nueva clave example.com.zsk2 a la zona example.com. La zona está firmada con example.com.zsk2. La zona example.com ahora contiene los RRSIG generados a partir de ambas claves.

    Comandos de NetScaler

    Realice las siguientes tareas en NetScaler:

    • Cree una clave DNS mediante el comando create dns key.

      Para obtener más información sobre cómo crear una clave DNS, incluido un ejemplo, consulte Crear claves DNS para una zona.

    • Publique la nueva clave en la zona mediante el comando add dns key.

      Para obtener más información sobre cómo publicar la clave en la zona, incluido un ejemplo, consulte Publicar una clave DNS en una zona.

    • Firme la zona con la nueva clave mediante el comando sign dns zone.

      Para obtener más información sobre cómo firmar una zona, incluidos ejemplos, consulte Firmar y anular la firma de una zona DNS.

  • Etapa 3: Eliminación de DNSKEY. Cuando los RRSIG generados por la clave DNS anterior caducan, la clave DNS anterior se elimina de la zona.

    Ejemplo:

    La antigua clave DNS example.com.zsk1 se elimina de la zona example.com.

    Comandos de NetScaler:

    En NetScaler, se quita la clave DNS antigua mediante el comando rm dns key.

    Para obtener más información sobre cómo quitar una clave de una zona, incluido un ejemplo, consulte Eliminar una clave DNS.

Restablecimiento doble

El RFC 7583, “Consideraciones sobre el tiempo de transferencia de claves de DNSSEC”, define tres etapas para la transferencia de doble restablecimiento: la inicial, la nueva DNSKEY y la eliminación de DNSKEY. Cada etapa está asociada a un conjunto de tareas que debe realizar en NetScaler. Las siguientes son las descripciones de cada etapa y las tareas que debe realizar. El procedimiento de transferencia que se describe aquí se utiliza para las claves de firma de claves.

  • Etapa 1: inicial. La zona contiene solo los conjuntos de claves y registros con los que se ha firmado actualmente la zona. El estado de la zona en la fase inicial es el estado de la zona justo antes de comenzar el proceso de transferencia de claves.

    Ejemplo:

    Tenga en cuenta las claves example.com.zsk1 y key.example.com.ksk1, con las que se firman la zona example.com y la clave DNSSEC respectivamente. La zona contiene solo los RRSIG de DNSKEY generados por la clave example.com.ksk1 que están a punto de caducar.

  • Etapa 2: Nuevo DNSKEY. Nuevo DNSKEY. Se crea la nueva clave KSK y se publica en la zona. Hay dos claves de DNSSEC y RRSig disponibles en la zona, una creada con la clave antigua y otra con la clave nueva. Actualice el nuevo registro DS en la zona principal. Ahora, la zona principal tiene dos registros DS, uno para la clave recién creada y otro para la clave antigua.

Nota:

Es posible que el registro DS tarde algún tiempo en estar disponible en la zona principal.

La zona contiene los RRSIG generados por las claves antigua y nueva. Para que la zona contenga ambos conjuntos de RRSigs, es necesario esperar a que caduquen todos los RRSigs, que es el valor TTL del registro DNSKEY. Además, debe tener en cuenta el retraso de propagación en el caso de la jerarquía de DNS. Ejemplo:

A new key example.com.ksk2 is added to the example.com zone. The zone is signed with example.com.ksk2. The example.com zone now contains the RRSIGs generated from both keys.

 **NetScaler commands**

Perform the following tasks on NetScaler:

-  Create a DNS key by using the `create dns key` command.

    For more information about creating a DNS key, including an example, see [Create DNS keys for a zone](/es-es/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).

-  Publish the new key in the zone by using the `add dns key` command.

    For more information about publishing the key in the zone, including an example, see [Publish a DNS key in a zone](/es-es/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).

-  Sign the zone with the new key by using the `sign dns zone` command.

    For more information about signing a zone, including examples, see [Sign and unsign a DNS zone](/es-es/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
  • Etapa 3: desfirmar la zona con la llave antigua.

    Una vez transcurrido el tiempo suficiente para que la nueva clave de DNSSEC se almacene en caché en los resolutores, la zona se puede desfirmar con la clave antigua.

    Anule la firma de la zona con la llave antigua mediante el comando unsign dns zone.

    Para obtener más información sobre cómo anular la firma de una zona, incluidos ejemplos, consulte Firmar y anular la firma de una zona DNS.

  • Etapa 4: Eliminación de DNSKEY. Cuando los RRSIG generados por la clave DNS anterior caducan, la clave DNS anterior se elimina de la zona.

Nota:

Asegúrese de haber desfirmado la zona antes de eliminar la clave.

**Example:**

The old DNS key example.com.ksk1 is removed from the example.com zone.

**NetScaler commands:**

On the ADC, you remove the old DNS key by using the `rm dns key` command. For more information about removing a key from a zone, including an example, see [Remove a DNS key](/es-es/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
Mantenimiento de zona