ADC

Transférez les opérations DNSSEC vers NetScaler

Pour les zones DNS pour lesquelles vos serveurs DNS font autorité, les opérations DNSSEC peuvent être déchargées vers l’appliance ADC. Dans un déploiement de déchargement DNSSEC, un serveur DNS envoie des réponses non signées. L’ADC signe la réponse de manière dynamique avant de la transmettre au client. L’ADC met également en cache la réponse signée. Outre la réduction de la charge sur les serveurs DNS, le transfert des opérations DNSSEC vers l’ADC vous offre les avantages suivants :

  • Vous pouvez signer les enregistrements que les serveurs DNS génèrent par programmation. Ces enregistrements ne peuvent pas être signés par des opérations de signature de zone de routine effectuées sur les serveurs DNS.
  • Vous pouvez fournir des réponses signées aux clients même si vous n’avez pas implémenté le protocole DNSSEC sur vos serveurs.

Pour configurer le déchargement DNSSEC, vous devez configurer un serveur virtuel d’équilibrage de charge DNS, configurer les services qui représentent les serveurs DNS, puis lier les services au serveur virtuel. Pour plus d’informations sur la configuration d’un serveur virtuel d’équilibrage de charge DNS, la configuration des services et la liaison des services au serveur virtuel, voir Configurer une zone DNS.

Créez une entité de zone sur ADC pour chaque zone DNS dont vous souhaitez décharger les opérations DNSSEC. Pour chaque zone DNS, vous devez activer les paramètres du mode proxy et du déchargement DNSSEC. Vous pouvez éventuellement configurer la génération d’enregistrements NSEC pour une zone déchargée. Pour créer une entité de zone DNS pour le déchargement DNSSEC, suivez les instructions de cette rubrique.

Pour terminer la configuration, vous devez générer des clés DNS pour la zone, ajouter les clés à la zone, puis signer la zone avec les clés. Ce processus est le même que pour le DNSSEC normal. Pour plus d’informations sur la création de clés, l’ajout de clés à une zone et la signature de la zone, voir Extensions de sécurité du système de noms de domaine.

Après avoir configuré le déchargement DNS, vous devez vider le cache DNS sur NetScaler. Le vidage du cache DNS garantit que tous les enregistrements non signés dans le cache sont supprimés puis remplacés par des enregistrements signés. Pour plus d’informations sur le vidage du cache DNS, voir Vider les enregistrements DNS.

Activer le déchargement DNSSEC pour une zone à l’aide de l’interface de ligne de commande

Sur la ligne de commande, tapez les commandes suivantes pour activer le déchargement DNSSEC pour une zone et vérifier la configuration :

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

Exemple :

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

Activer le déchargement DNSSEC pour une zone à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > DNS > Zones.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    • Pour créer une zone sur NetScaler, cliquez sur Ajouter.
    • Pour configurer le déchargement DNSSEC pour une zone existante, double-cliquez sur la zone.
  3. Dans la boîte de dialogue Créer une zone DNS ou Configurer une zone DNS, cochez les cases Mode proxy et Déchargement DNSSEC.
  4. Si vous souhaitez que NetScaler génère des enregistrements NSEC pour la zone, cochez la case NSEC.
Transférez les opérations DNSSEC vers NetScaler