-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
NetScalerアプライアンスのアップグレードとダウングレード
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ゾーンのメンテナンス
DNSSEC の観点から見ると、ゾーンのメンテナンスでは、キーの有効期限が迫っているときにゾーン署名キーとキー署名キーをロールオーバーする必要があります。これらのゾーンメンテナンスタスクは手動で実行する必要があります。ゾーンは自動的に再署名されるため、手動で操作する必要はありません。
更新したゾーンに再署名する
ゾーンが更新(レコードの追加または既存のレコードの変更)されると、アプライアンスは新しい(または変更された)レコードに自動的に再署名します。ゾーンに複数のゾーン署名キーが含まれている場合、アプライアンスはゾーンの署名に使用されたキーで新しい(または変更された)レコードに再署名します。
DNSSEC キーをロールオーバー
注:有効期限が切れる前に DNSSEC キー (KSK、ZSK) を手動でロールオーバーしてください。
NetScalerでは、プリパブリッシュと二重署名の方法を使用して、ゾーン署名キーとキー署名キーのロールオーバーを実行できます。これら 2 つのロールオーバー方法の詳細については、RFC 4641「DNSSEC の運用慣行」を参照してください。
以下のトピックでは、ADC のコマンドを RFC 4641 で説明されているロールオーバー手順のステップにまとめています。
キーの有効期限の通知は、dnskeyExpiry という SNMP トラップを介して送信されます。dnskey有効期限 SNMP トラップと共に、dnskeyName、有効期限が切れるまでの時間、および期限切れのdnskey単位の 3 つの MIB 変数が送信されます。 詳細については、「 NetScaler 12.0 SNMP OIDリファレンス」の「NetScaler SNMP OIDリファレンス 」を参照してください。
公開前キーのロールオーバー
RFC 4641「DNSSEC の運用慣行」では、プレパブリッシュキーのロールオーバー方法について、初期、新規 DNSKEY、新しい RRSIGs、および DNSKEY の削除という 4 つの段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。
-
ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。
例:
example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。
-
ステージ2:新しいダンスキー。新しいキーが作成され、ゾーンで公開されます。つまり、キーはADCに追加されますが、プレロールフェーズが完了するまでゾーンは新しいキーで署名されません。このステージでは、ゾーンには古いキー、新しいキー、および古いキーによって生成された RRSig が含まれます。プレロールフェーズの全期間にわたって新しいキーを公開すると、新しいキーに対応する DNSKEY リソースレコードがセカンダリネームサーバーに伝達されるまでの時間が与えられます。
例:
example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。プレロールフェーズが完了するまで、ゾーンは example.com.zsk2 で署名されません。example.com ゾーンには、example.com.zsk1 と example.com.zsk2 の両方の DNSKEY リソースレコードが含まれています。
NetScaler コマンド:
ADC で次のタスクを実行します。
-
create dns keyコマンドを使用して DNS キーを作成します。例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。
-
add dns keyコマンドを使用して、ゾーン内の新しい DNS キーを発行します。例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
-
-
ステージ 3: 新しい RRSIGs。ゾーンは新しい DNS キーで署名され、その後古い DNS キーで署名が解除されます。古い DNS キーはゾーンから削除されず、古いキーによって生成された RRSig の有効期限が切れるまで公開されたままになります。
例:
ゾーンは example.com.zsk2 で署名され、次に example.com.zsk1 で署名解除されます。ゾーンは example.com.zsk1 によって生成された RRSIGの有効期限が切れるまで、example.com.zsk1 を引き続き公開します。
NetScaler コマンド:
ADC で次のタスクを実行します。
-
sign dns zoneコマンドを使用して、新しい DNS キーでゾーンに署名します。 -
unsign dns zoneコマンドを使用して、古い DNS キーを使用してゾーンの署名を解除します。
例を含むゾーンの署名と署名の解除の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
-
-
ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。
例:
古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。
NetScaler コマンド
ADC で、
rm dns keyコマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。
二重署名キーのロールオーバー
RFC 4641「DNSSEC 運用慣行」では、二重署名キーのロールオーバーについて、初期、新規 DNSKEY、および DNSKEY 削除の 3 段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。
-
ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。
例:
example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。
-
ステージ2:新しいダンスキー。新しい鍵がゾーンで公開され、ゾーンは新しい鍵で署名されます。ゾーンには、古いキーと新しいキーによって生成された RRSig が含まれます。ゾーンに両方の RRSIGセットが含まれている必要がある最小期間は、すべてのRRSIGの有効期限が切れるまでに必要な時間です。
例:
example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。ゾーンは example.com.zsk2 で署名されています。example.com ゾーンには、両方のキーから生成された RRSig が含まれるようになりました。
NetScaler コマンド
ADC で次のタスクを実行します。
-
create dns keyコマンドを使用して DNS キーを作成します。例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。
-
add dns keyコマンドを使用して、ゾーンに新しいキーを発行します。例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
-
sign dns zoneコマンドを使用して、新しいキーでゾーンに署名します。例を含むゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
-
-
ステージ3:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。
例:
古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。
NetScaler コマンド:
ADC で、
rm dns keyコマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.