ADC

Caso de uso: configurar la administración automática de claves DNSSEC en la implementación de GSLB

Realice los siguientes pasos para habilitar la función de transferencia automática en un sitio de GSLB. Si desea un solucionador de DNS secundario y desea duplicar la configuración de DNS y las claves de DNS, asegúrese de tener las siguientes configuraciones:

  • Sitios GSLB básicos
  • Licencia para GSLB
  • Directivas de firewall

Nota

Una vez completada la configuración, el GSLB principal realiza las operaciones de transferencia de claves y la sincronización con los sitios de los subordinados.

En este ejemplo, hemos utilizado los siguientes detalles:

  • Nombre de dominio: example.com
  • Servidor de origen: nameserver1.example.com
  • Servidor de nombres: nameserver2.example.com
  • Contacto: admin.example.com
  • Teclas: clave 1 para ZSK y clave 2 para KSK
  1. Habilite los parámetros gslbAutomaticConfigSync y gslbSyncSaveConfig.

    En la línea de comandos, escriba:

set gslb parameter -automaticConfigSync enabled -gslbsyncsaveConfig enabled

 Warning: The Saveconfig command might not get applied to GSLB sites that are down during the sync operation, so it is recommended to apply saveconfig on the master node again when down GSLB site comes up.
Done
<!--NeedCopy-->
  1. Habilite la transferencia de zonas DNS en los parámetros DNS.

    En la línea de comandos, escriba:

    set dns parameter -zoneTransfer enABLED
    Done
    <!--NeedCopy-->
    
  2. Cree un registro SOA y NS (el nombre debe ser el mismo que el nombre de la zona).

    En la línea de comandos, escriba:

    add dns soaRec example.com -originServer nameserver1.example.com -contact admin.example.com
    Done
    add dns nsrec example.com nameserver2.example.com
    Done
    <!--NeedCopy-->
    
  3. Cree un registro de zona DNS. Defina el modo Proxy como No para las zonas autoritativas.

    add dns zone example.com  -proxyMode no
    <!--NeedCopy-->
    
  4. Crear claves DNS

    Nota:

    El comando crea tres archivos en el sistema con el prefijo del nombre de archivo: private, key y ds.

    create dns key -zoneName example.com -fileNamePrefix Key1.zsk -keytype zsk -keysize 1024 -algorithm rsASHA256
    create dns key -zoneName example.com -fileNamePrefix Key2.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
    <!--NeedCopy-->
    
  5. Publica las claves en la zona.

    Nota:

    Activa la opción de reinversión automática y especifica la fecha de caducidad, junto con el período de notificación. Aparece un mensaje de advertencia sobre la activación de la clave.

    add dns key Key1.zsk Key1.zsk.key Key1.zsk.private -autoRollover enABLED -expires 30 days -notificationPeriod 7 days -rolloverMethod doublesignature
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    
     add dns key Key2.ksk Key2.ksk.key Key2.ksk.private -autoRollover enABLED -expires 120 days -notificationPeriod 15 days -rolloverMethod doublerrSet
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    <!--NeedCopy-->
    
  6. Active la clave con el comando signzone.

    sign dns zone example.com -keyName Key1.zsk Key2.ksk
    <!--NeedCopy-->
    
  7. Habilite la opción de guardar automáticamente la clave en los parámetros de DNS.

    set dns parameter -autosaveKeyOps enabled
    <!--NeedCopy-->
    
  8. Ejecute el comando show DNS key. El comando show muestra los siguientes detalles:

    • Estado de la clave: el estado de una clave existente.
    • Fecha de caducidad: fecha en la que caduca la clave actual.
    • Período de notificación: este parámetro define el número de días que debe enviarse una notificación antes de que caduque la clave. Si la transferencia automática está habilitada, se crea una clave sucesora en este período antes de que caduque.
    • Etiqueta clave: identificador único de una clave.
    • Estado de vuelco automático: el estado actual del vuelco automático.
    • Método Rollover: método Rollover para la clave especificada.

    ``` mostrar la clave dns

    1) Nombre de clave: test1.zsk Etiqueta clave: 33216 Tipo de clave: ZSK Nombre de zona: test1.com Estado clave: Activado Vence: 30 DÍAS Notificación: 7 DÍAS TTL: 5 Renovación automática: HABILITADO Método de reinversión: DoubleSignature Archivo de clave pública: test1.zsk.key Archivo de clave privada: test1.zsk.private Hora de creación: miércoles 11 de octubre de 2023 Hora de activación: miércoles 11 de octubre de 2023 Hora de activación: miércoles 11 de octubre de 2023 Hora de activación: miércoles 11 de octubre de 2023 Tiempo de activación: viernes 10 de noviembre 04:31:05 2023 Tiempo de eliminación: viernes

    10 de noviembre 04:33:05 2023 2) Nombre de clave: test1.ksk Etiqueta clave: 5554 Tipo de clave: KSK Nombre de zona: test1.com Estado clave: Activado Vence: 120 DÍAS Notificación: 15 DÍAS TTL: 5 Renovación automática: HABILITADO Método de reinversión: DoubleRset Archivo de clave pública: test1.ksk.key Archivo de clave privada: test1.ksk.private Hora de creación: miércoles 11 de octubre de 2023 Hora de activación: miércoles 11 de octubre de 2023 Hora de activación: miércoles 11 de octubre de 2023 Hora de activación: miércoles 11 de octubre de 2023 Tiempo de desactivación: jueves 8 de febrero a las 04:31:05 2024 Eliminación

    Hora: jueves 8 de febrero a las 04:33:05 de 2024 Listo

Caso de uso: configurar la administración automática de claves DNSSEC en la implementación de GSLB

En este artículo