ADC

Cas d’utilisation : configurer la gestion automatique des clés DNSSEC lors du déploiement de GSLB

Effectuez les étapes suivantes pour activer la fonction de survol automatique sur un site GSLB. Si vous souhaitez utiliser un résolveur DNS secondaire et que vous souhaitez dupliquer la configuration DNS et les clés DNS, assurez-vous de disposer des configurations suivantes :

  • Sites GSLB de base
  • Licence pour GSLB
  • Stratégies pare-feu

Remarque

Une fois la configuration terminée, le GSLB principal effectue les opérations de transfert des clés et la synchronisation avec les sites des subordonnés.

Dans cet exemple, nous avons utilisé les informations suivantes :

  • Nom de domaine : example.com
  • Serveur d’origine : nameserver1.example.com
  • Serveur de noms : nameserver2.example.com
  • Contactez : admin.example.com
  • Clés : touche 1 pour ZSK et touche 2 pour KSK
  1. Activez les paramètres GSLBAutomaticConfigSync et GSLBSyncSaveConfig.

    À l’invite de commandes, tapez :

set gslb parameter -automaticConfigSync enabled -gslbsyncsaveConfig enabled

 Warning: The Saveconfig command might not get applied to GSLB sites that are down during the sync operation, so it is recommended to apply saveconfig on the master node again when down GSLB site comes up.
Done
<!--NeedCopy-->
  1. Activez le transfert de zone DNS dans les paramètres DNS.

    À l’invite de commandes, tapez :

    set dns parameter -zoneTransfer enABLED
    Done
    <!--NeedCopy-->
    
  2. Créez un enregistrement SOA et NS (le nom doit être le même que le nom de la zone).

    À l’invite de commandes, tapez :

    add dns soaRec example.com -originServer nameserver1.example.com -contact admin.example.com
    Done
    add dns nsrec example.com nameserver2.example.com
    Done
    <!--NeedCopy-->
    
  3. Créez un enregistrement de zone DNS. Définissez le mode proxy sur Non pour les zones faisant autorité.

    add dns zone example.com  -proxyMode no
    <!--NeedCopy-->
    
  4. Création de clés DNS

    Remarque :

    La commande crée trois fichiers dans le système avec le préfixe du nom de fichier : private, key et ds.

    create dns key -zoneName example.com -fileNamePrefix Key1.zsk -keytype zsk -keysize 1024 -algorithm rsASHA256
    create dns key -zoneName example.com -fileNamePrefix Key2.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
    <!--NeedCopy-->
    
  5. Publiez les clés dans la zone.

    Remarque :

    Activez l’option de report automatique et spécifiez la date d’expiration ainsi que la période de notification. Un message d’avertissement s’affiche concernant l’activation de la clé.

    add dns key Key1.zsk Key1.zsk.key Key1.zsk.private -autoRollover enABLED -expires 30 days -notificationPeriod 7 days -rolloverMethod doublesignature
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    
     add dns key Key2.ksk Key2.ksk.key Key2.ksk.private -autoRollover enABLED -expires 120 days -notificationPeriod 15 days -rolloverMethod doublerrSet
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    <!--NeedCopy-->
    
  6. Activez la touche à l’aide de la commande Sign Zone.

    sign dns zone example.com -keyName Key1.zsk Key2.ksk
    <!--NeedCopy-->
    
  7. Activez l’option de sauvegarde automatique de la clé dans les paramètres DNS.

    set dns parameter -autosaveKeyOps enabled
    <!--NeedCopy-->
    
  8. Exécutez le raccourci clavier show DNS. La commande show répertorie les informations suivantes :

    • État clé : état d’une clé existante.
    • Date d’expiration : date à laquelle la clé actuelle expire.
    • Période de notification : ce paramètre définit le nombre de jours avant l’expiration de la clé pendant lesquels une notification doit être envoyée. Si le rollover automatique est activé, une clé de remplacement est créée à cette période avant l’expiration.
    • Tag clé : identifiant unique d’une clé.
    • État du survol automatique : état actuel du survol automatique.
    • Méthode de survol : méthode de survol pour la clé spécifiée.

    ``` Afficher la clé DNS

    1) Nom de la clé : test1.zsk Balise clé : 33216 Type de clé : ZSK Nom de la zone : test1.com État de la clé : Activé Expire : 30 JOURS Notification : 7 JOURS TTL : 5 Substitution automatique : ACTIVÉE Méthode de substitution : DoubleSignature Fichier de clé publique : test1.zsk.key Fichier de clé privée : test1.zsk.private Heure de création : mercredi 11 octobre 04:30:40 2023 Heure d’activation : mercredi 11 octobre 04:32:05 2023 Heure de désactivation : vendredi 10 novembre 04:31:05 2023 Heure de suppression : vendredi 10 novembre 04:33:05 2023 2) Nom de la clé : test1.ksk Balise clé : 5554 Type de clé : KSK Nom de la zone : test1.com État de la clé : Activé Expire : 120 JOURS Notification : 15 JOURS TTL : 5 Substitution automatique : ACTIVÉE Méthode de substitution : DoubleRRSet Fichier de clé publique : test1.ksk.key Fichier de clé privée : test1.ksk.private Heure de création : mercredi 11 octobre 04:31:44 2023 Heure d’activation : mercredi 11 octobre 04:32:05 2023 Heure de désactivation : jeudi 8 février 04:31:05 2023 Heure de suppression : jeudi 8 février 04:33:05 2023 Terminé

Cas d’utilisation : configurer la gestion automatique des clés DNSSEC lors du déploiement de GSLB

Dans cet article