ADC

Entretien de la zone

Du point de vue DNSSEC, la maintenance de zone implique le roulement des clés de signature de zone et des clés de signature de clé lorsque l’expiration de la clé est imminente. Ces tâches de maintenance de zone doivent être effectuées manuellement. La zone est résignée automatiquement et ne nécessite aucune intervention manuelle.

Signer à nouveau une zone mise à jour

Lorsqu’une zone est mise à jour (ajouter un enregistrement ou modifier un enregistrement existant), l’appliance signe automatiquement le nouvel enregistrement (ou modifié). Si une zone contient plusieurs clés de signature de zone, l’appliance signe de nouveau le nouvel enregistrement (ou modifié) avec la clé utilisée pour signer la zone.

Repasser les clés DNSSEC

Remarque : Revalez manuellement les clés DNSSEC (KSK, ZSK) avant leur expiration.

Sur Citrix ADC, vous pouvez utiliser les méthodes de pré-publication et de double signature pour effectuer un survol de la clé de signature de zone et de la clé de signature de clé. Plus d’informations sur ces deux méthodes de survol sont disponibles dans la RFC 4641, « DNSSEC Operational Practices ».

Les rubriques suivantes mappent les commandes de ADC aux étapes des procédures de survol décrites dans la RFC 4641.

La notification d’expiration de la clé est envoyée via une interruption SNMP appelée DNSKeyExpiration. Trois variables MIB, DNSKeyName, DNSKeyTimeToExpiration et DNSKeyUnitsofExpiration sont envoyées avec l’interruption SNMP DNSKeyExpiration. Pour plus d’informations, consultez Citrix NetScaler SNMP OID Reference at NetScaler 12.0 SNMP OID Reference.

Prépublication du survol des clés

La RFC 4641, « DNSSEC Operational Practices » définit quatre étapes pour la méthode de basculement de clé de publication : initiale, nouvelle DNSKEY, nouvelle méthode RRSIG et suppression de DNSKEY. Chaque étape est associée à un ensemble de tâches que vous devez effectuer sur ADC. Voici les descriptions de chaque étape et les tâches que vous devez effectuer. La procédure de substitution décrite ici peut être utilisée à la fois pour les clés de signature de clé et les clés de signature de zone.

  • Étape 1 : Initiale. La zone contient uniquement les jeux de clés avec lesquels la zone a été actuellement signée. L’état de la zone dans la phase initiale correspond à l’état de la zone juste avant de commencer le processus de retournement des clés.

    Exemple :

    Considérez la clé, example.com.zsk1, avec laquelle la zone example.com est signée. La zone contient uniquement les RRSIG générés par la clé example.com.zsk1, qui doit être expirée. La clé de signature de clé est example.com.ksk1.

  • Étape 2 : Nouveau DNSKEY. Une nouvelle clé est créée et publiée dans la zone. C’est-à-dire que la clé est ajoutée à ADC, mais la zone n’est pas signée avec la nouvelle clé tant que la phase de pré-roulement n’est pas terminée. Dans ce stade, la zone contient l’ancienne clé, la nouvelle clé et les RRSIG générés par l’ancienne clé. La publication de la nouvelle clé pour la durée complète de la phase pré-roll donne l’enregistrement de ressource DNSKEY correspondant à la nouvelle heure de la clé à propager vers les serveurs de noms secondaires.

    Exemple :

    Une nouvelle clé example.com.zsk2 est ajoutée à la zone example.com. La zone n’est pas signée avec example.com.zsk2 tant que la phase de pré-roll n’est pas terminée. La zone example.com contient des enregistrements de ressources DNSKEY pour example.com.zsk1 et example.com.zsk2.

    Commandes Citrix ADC :

    Effectuez les tâches suivantes sur ADC :

    • Créez une clé DNS à l’aide de la commande create dns key.

      Pour plus d’informations sur la création d’une clé DNS, y compris un exemple, voir Créer des clés DNS pour une zone.

    • Publiez la nouvelle clé DNS dans la zone à l’aide de la commande add dns key.

      Pour plus d’informations sur la publication de la clé dans la zone, y compris un exemple, voir Publier une clé DNS dans une zone.

  • Étape 3 : Nouveaux RRSIG. La zone est signée avec la nouvelle clé DNS, puis non signée avec l’ancienne clé DNS. L’ancienne clé DNS n’est pas supprimée de la zone et reste publiée jusqu’à ce que les RRSIG générés par l’ancienne clé expirent.

    Exemple :

    La zone est signée avec example.com.zsk2, puis non signée avec example.com.zsk1. La zone continue de publier example.com.zsk1 jusqu’à ce que les RRSIG générés par example.com.zsk1 expirent.

    Commandes Citrix ADC :

    Effectuez les tâches suivantes sur ADC :

    • Signez la zone avec la nouvelle clé DNS à l’aide de la commande sign dns zone.
    • Déconnectez la zone avec l’ancienne clé DNS à l’aide de la commande unsign dns zone.

    Pour plus d’informations sur la signature et la désignature d’une zone, y compris des exemples, voir Signer et désigner une zone DNS.

  • Étape 4 : Suppression de DNSKEY. Lorsque les RRSIG générés par l’ancienne clé DNS expirent, l’ancienne clé DNS est supprimée de la zone.

    Exemple :

    L’ancienne clé DNS example.com.zsk1 est supprimée de la zone example.com.

    Commandes Citrix ADC

    Sur ADC, vous supprimez l’ancienne clé DNS à l’aide de la commande rm dns key. Pour plus d’informations sur la suppression d’une clé d’une zone, y compris un exemple, voir Supprimer une clé DNS.

Clé-clé à double signature

La RFC 4641, « DNSSEC Operational Practices » définit trois étapes pour le renversement de clés à double signature : initiale, nouvelle DNSKEY et suppression de DNSKEY. Chaque étape est associée à un ensemble de tâches que vous devez effectuer sur ADC. Voici les descriptions de chaque étape et les tâches que vous devez effectuer. La procédure de substitution décrite ici peut être utilisée à la fois pour les clés de signature de clé et les clés de signature de zone.

  • Étape 1 : Initiale. La zone contient uniquement les jeux de clés avec lesquels la zone a été actuellement signée. L’état de la zone dans la phase initiale correspond à l’état de la zone juste avant de commencer le processus de retournement des clés.

    Exemple :

    Considérez la clé, example.com.zsk1, avec laquelle la zone example.com est signée. La zone contient uniquement les RRSIG générés par la clé example.com.zsk1, qui doit être expirée. La clé de signature de clé est example.com.ksk1.

  • Étape 2 : Nouveau DNSKEY. La nouvelle clé est publiée dans la zone et la zone est signée avec la nouvelle clé. La zone contient les RRSIG générés par l’ancienne et la nouvelle clé. La durée minimale pour laquelle la zone doit contenir les deux ensembles de RRSIG est la durée requise pour que tous les RRSIG expirent.

    Exemple :

    Une nouvelle clé example.com.zsk2 est ajoutée à la zone example.com. La zone est signée avec example.com.zsk2. La zone example.com contient désormais les RRSIG générés à partir des deux clés.

    Commandes Citrix ADC

    Effectuez les tâches suivantes sur ADC :

    • Créez une clé DNS à l’aide de la commande create dns key.

      Pour plus d’informations sur la création d’une clé DNS, y compris un exemple, voir Créer des clés DNS pour une zone.

    • Publiez la nouvelle clé dans la zone à l’aide de la commande add dns key.

      Pour plus d’informations sur la publication de la clé dans la zone, y compris un exemple, voir Publier une clé DNS dans une zone.

    • Signez la zone avec la nouvelle clé à l’aide de la commande sign dns zone.

      Pour plus d’informations sur la signature d’une zone, y compris des exemples, voir Signer et désigner une zone DNS.

  • Étape 3 : Suppression de DNSKEY. Lorsque les RRSIG générés par l’ancienne clé DNS expirent, l’ancienne clé DNS est supprimée de la zone.

    Exemple :

    L’ancienne clé DNS example.com.zsk1 est supprimée de la zone example.com.

    Commandes Citrix ADC :

    Sur ADC, vous supprimez l’ancienne clé DNS à l’aide de la commande rm dns key.

    Pour plus d’informations sur la suppression d’une clé d’une zone, y compris un exemple, voir Supprimer une clé DNS.

Entretien de la zone