ADC

Configurer DNSSEC pour une zone pour laquelle NetScaler est un serveur proxy DNS

La procédure de signature d’une zone pour laquelle NetScaler est configuré en tant que serveur proxy DNS dépend du fait que l’ADC possède ou non un sous-ensemble des informations de zone détenues par les serveurs de noms principaux. Si tel est le cas, la configuration est considérée comme une configuration de propriété partielle de la zone. Si l’ADC ne possède aucun sous-ensemble des informations de zone, la configuration NetScaler pour la gestion des serveurs principaux est considérée comme une configuration de serveur proxy DNS sans zone. Les tâches de configuration DNSSEC de base pour les deux configurations NetScaler sont les mêmes. Toutefois, la signature de la zone partielle sur NetScaler nécessite quelques étapes de configuration supplémentaires.

Remarque : Les termes configuration de serveur proxy sans zone et zone partielle sont utilisés uniquement dans le contexte de l’appliance NetScaler.

Important : lorsqu’il est configuré en mode proxy, l’ADC ne vérifie pas la signature des réponses DNSSEC avant de mettre à jour le cache.

Si vous configurez l’ADC en tant que proxy DNS pour équilibrer la charge des résolveurs (serveurs) compatibles DNSSEC, vous devez définir l’option Récursion disponible lors de la configuration du serveur virtuel DNS. Si une requête DNSSEC arrive avec le bit Checking Disabled (CD) défini, la requête est transmise au serveur avec le bit CD conservé. La réponse du serveur n’est pas mise en cache.

Configurer DNSSEC pour une configuration de serveur proxy DNS sans zone

Pour une configuration de serveur proxy DNS sans zone, la signature de zone doit être effectuée sur les serveurs de noms principaux. Sur NetScaler, vous configurez l’ADC en tant que serveur proxy DNS pour la zone. Créez un serveur virtuel d’équilibrage de charge de type de protocole DNS. Configurez les services sur l’ADC pour représenter les serveurs de noms. Ensuite, liez les services au serveur virtuel d’équilibrage de charge. Pour plus d’informations sur ces tâches de configuration, voir Configurer NetScaler en tant que serveur proxy DNS.

Lorsqu’un client envoie à ADC une demande DNS avec le bit OK (DO) DNSSEC défini, ADC vérifie son cache pour les informations demandées. Si les enregistrements de ressources ne sont pas disponibles dans son cache, l’ADC transmet la demande à l’un des serveurs de noms DNS. Il transmet ensuite la réponse du serveur de noms au client. L’ADC met également en cache les enregistrements de ressources RRSIG ainsi que la réponse du serveur de noms. Les demandes suivantes émanant de clients compatibles DNSSEC sont traitées à partir du cache (y compris les enregistrements de ressources RRSIG), en fonction du paramètre de durée de vie (TTL). Si un client envoie une requête DNS sans définir le bit DO, l’ADC répond avec uniquement les enregistrements de ressources demandés. Il n’inclut pas les enregistrements de ressources RRSIG spécifiques à DNSSEC.

Configurer DNSSEC pour une configuration de propriété partielle de la zone

Dans certaines configurations ADC, même si l’autorité d’une zone appartient aux serveurs de noms principaux, un sous-ensemble des enregistrements de ressources appartenant à la zone peut être configuré sur l’ADC. L’ADC possède (ou fait autorité pour) uniquement ce sous-ensemble d’enregistrements. Un tel sous-ensemble d’enregistrements peut être considéré comme constituant une zone partielle sur l’ADC. L’ADC est propriétaire de la zone partielle. Tous les autres enregistrements appartiennent aux serveurs de noms principaux.

Une configuration de zone partielle typique sur NetScaler s’affiche lorsque :

  • Les domaines GSLB (Global Server Load Balancing) sont configurés sur l’ADC
  • Les domaines GSLB font partie d’une zone pour laquelle les serveurs de noms principaux font autorité.

La signature d’une zone qui inclut uniquement une zone partielle sur l’ADC implique :

  • Inclusion des informations de zone partielles dans les fichiers de zone du serveur de noms principal
  • Signature de la zone sur les serveurs de noms principaux
  • Signature de la zone partielle sur l’ADC.

Le même jeu de clés doit être utilisé pour signer la zone sur les serveurs de noms et la zone partielle sur l’ADC.

Signez la zone sur les serveurs de noms principaux

  1. Incluez les enregistrements de ressources contenus dans la zone partielle, dans les fichiers de zone des serveurs de noms.
  2. Créez des clés et utilisez-les pour signer la zone sur les serveurs de noms principaux.

Signez la zone partielle sur NetScaler

  1. Créez une zone avec le nom de la zone appartenant aux serveurs de noms principaux. Lors de la configuration de la zone partielle, définissez le paramètre ProxyMode sur YES. Cette zone est la zone partielle qui contient les enregistrements de ressources détenus par l’ADC.

    Par exemple, si le nom de la zone configurée sur les serveurs de noms principaux est exemple.com, vous devez créer une zone nommée exemple.com sur l’ADC. Définissez le paramètre ProxyMode sur YES. Pour plus d’informations sur l’ajout d’une zone, voir Configurer une zone DNS.

    Remarque

    N’ajoutez pas d’enregistrements SOA et NS pour la zone. Ces enregistrements doivent exister sur l’ADC pour une zone pour laquelle l’ADC fait autorité.

  2. Importez les clés (depuis l’un des serveurs de noms dorsaux) vers ADC, puis ajoutez-les au répertoire /nsconfig/dns/. Pour plus d’informations sur la façon dont vous pouvez importer une clé et l’ajouter à ADC, consultez Publier une clé DNS dans une zone.
  3. Signez la zone partielle avec les clés importées. Lorsque vous signez la zone partielle avec les clés, ADC génère des enregistrements RRSIG et NSEC pour les jeux d’enregistrements de ressources et les enregistrements de ressources individuels dans la zone partielle, respectivement. Pour plus d’informations sur la signature d’une zone, voir Signer et désigner une zone DNS.
Configurer DNSSEC pour une zone pour laquelle NetScaler est un serveur proxy DNS