ADC

Cas d’utilisation : configuration de la fonction de gestion automatique des clés DNSSEC

Procédez comme suit pour activer la fonction de survol automatique sur un site non GSLB.

Remarque

Utilisez cette procédure si vous disposez d’un déploiement DNS sur un NetScaler et que vous n’êtes pas obligé de le répliquer sur d’autres appareils.

Dans cet exemple, nous avons utilisé les informations suivantes :

  • Nom de domaine : example.com
  • Serveur d’origine : nameserver1.example.com
  • Serveur de noms : nameserver2.example.com
  • Contactez : admin.example.com
  • Clés : touche 1 pour ZSK et touche 2 pour KSK
  1. Créer un enregistrement SOA et NS (le nom doit être le même que le nom de la zone)

    À l’invite de commandes, tapez :

    add dns soaRec example.com -originServer nameserver1.example.com -contact admin.example.com
    <!--NeedCopy-->
    
  2. Créez un enregistrement de zone DNS. Réglez le mode proxy sur Non pour les zones faisant autorité.

    add dns zone example.com  -proxyMode no
    <!--NeedCopy-->
    
  3. Création de clés DNS

    Remarque :

    La commande crée trois fichiers dans le système avec le préfixe du nom de fichier : private, key et ds.

    create dns key -zoneName example.com -fileNamePrefix Key1.zsk -keytype zsk -keysize 1024 -algorithm rsASHA256
    create dns key -zoneName example.com -fileNamePrefix Key2.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
    <!--NeedCopy-->
    
  4. Publiez les clés dans la zone.

    Remarque :

    Activez l’option de report automatique et spécifiez la date d’expiration ainsi que la période de notification. Un message d’avertissement s’affiche concernant l’activation de la clé.

    add dns key Key1.zsk Key1.zsk.key Key1.zsk.private -autoRollover enABLED -expires 30 days -notificationPeriod 7 days -rolloverMethod doublesignature
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    
     add dns key Key2.ksk Key2.ksk.key Key2.ksk.private -autoRollover enABLED -expires 120 days -notificationPeriod 15 days -rolloverMethod doublerrSet
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    <!--NeedCopy-->
    
  5. Activez la touche à l’aide de la commande Sign Zone.

    sign dns zone example.com -keyName Key1.zsk Key2.ksk

  6. Mettez à jour l’enregistrement DS pour la nouvelle clé dans la zone parent.

  7. Activez l’option de sauvegarde automatique de la clé dans les paramètres DNS.

    set dns parameter -autosaveKeyOps enABLED

Remarque :

Pour garantir une surveillance rapide de toutes les activités clés, une alarme SNMP est envoyée. Les alarmes SNMP sont envoyées pour les clés nouvellement générées une fois que les clés actives sont supprimées.

Cas d’utilisation : configuration de la fonction de gestion automatique des clés DNSSEC

Dans cet article