ADC

Décharger les opérations DNSSEC sur Citrix ADC

Pour les zones DNS pour lesquelles vos serveurs DNS font autorité, les opérations DNSSEC peuvent être déchargées vers l’appliance ADC. Dans un déploiement de déchargement DNSSEC, un serveur DNS envoie des réponses non signées. ADC signe la réponse dynamiquement avant de la relayer au client. ADC met également en cache la réponse signée. Outre la réduction de la charge sur les serveurs DNS, le déchargement des opérations DNSSEC vers ADC offre les avantages suivants :

  • Vous pouvez signer des enregistrements générés par les serveurs DNS par programme. Ces enregistrements ne peuvent pas être signés par des opérations de signature de zone de routine effectuées sur les serveurs DNS.
  • Vous pouvez fournir des réponses signées aux clients même si vous n’avez pas implémenté DNSSEC sur vos serveurs.

Pour configurer le déchargement DNSSEC, vous devez configurer un serveur virtuel d’équilibrage de charge DNS, configurer les services qui représentent les serveurs DNS, puis lier les services au serveur virtuel. Pour plus d’informations sur la configuration d’un serveur virtuel d’équilibrage de charge DNS, la configuration des services et la liaison des services au serveur virtuel, voir Configurer une zone DNS.

Créez une entité de zone sur ADC pour chaque zone DNS dont vous souhaitez décharger les opérations DNSSEC. Pour chaque zone DNS, vous devez activer les paramètres Mode proxy et Déchargement DNSSEC. Vous pouvez éventuellement configurer la génération d’enregistrements NSEC pour une zone déchargée. Pour créer une entité de zone DNS pour le déchargement DNSSEC, suivez les instructions de cette rubrique.

Pour terminer la configuration, vous devez générer des clés DNS pour la zone, ajouter les clés à la zone, puis signer la zone avec les clés. Ce processus est le même que pour le DNSSEC normal. Pour plus d’informations sur la création de clés, l’ajout de clés à une zone et la signature de la zone, voir Extensions de sécurité du système de noms de domaine.

Après avoir configuré le déchargement DNS, vous devez vider le cache DNS sur Citrix ADC. Le vidage du cache DNS garantit que tous les enregistrements non signés dans le cache sont supprimés puis remplacés par des enregistrements signés. Pour plus d’informations sur le vidage du cache DNS, voir Vider les enregistrements DNS.

Activer le déchargement DNSSEC pour une zone à l’aide de l’interface de ligne de commande

Sur la ligne de commande, tapez les commandes suivantes pour activer le déchargement DNSSEC pour une zone et vérifier la configuration :

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

Exemple :

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

Activer le déchargement DNSSEC pour une zone à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > DNS > Zones.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    • Pour créer une zone sur Citrix ADC, cliquez sur Ajouter.
    • Pour configurer le déchargement DNSSEC d’une zone existante, double-cliquez sur la zone.
  3. Dans la boîte de dialogue Créer une zone DNS ou Configurer une zone DNS, activez les cases à cocher Mode proxy et Déchargement DNSSEC.
  4. Si vous souhaitez que Citrix ADC génère des enregistrements NSEC pour la zone, activez la case à cocher NSEC.
Décharger les opérations DNSSEC sur Citrix ADC