ADC

ゾーンのメンテナンス

DNSSEC の観点から見ると、ゾーンのメンテナンスでは、キーの有効期限が迫っているときにゾーン署名キーとキー署名キーをロールオーバーする必要があります。これらのゾーンメンテナンスタスクは手動で実行する必要があります。ゾーンは自動的に再署名されるため、手動で操作する必要はありません。

更新したゾーンに再署名する

ゾーンが更新(レコードの追加または既存のレコードの変更)されると、アプライアンスは新しい(または変更された)レコードに自動的に再署名します。ゾーンに複数のゾーン署名キーが含まれている場合、アプライアンスはゾーンの署名に使用されたキーで新しい(または変更された)レコードに再署名します。

DNSSEC キーをロールオーバー

注:有効期限が切れる前に DNSSEC キー (KSK、ZSK) を手動でロールオーバーしてください。

NetScalerでは、プリパブリッシュと二重署名の方法を使用して、ゾーン署名キーとキー署名キーのロールオーバーを実行できます。これら 2 つのロールオーバー方法の詳細については、RFC 4641「DNSSEC の運用慣行」を参照してください。

以下のトピックでは、ADC のコマンドを RFC 4641 で説明されているロールオーバー手順のステップにまとめています。

キーの有効期限の通知は、dnskeyExpiry という SNMP トラップを介して送信されます。dnskey有効期限 SNMP トラップと共に、dnskeyName、有効期限が切れるまでの時間、および期限切れのdnskey単位の 3 つの MIB 変数が送信されます。 詳細については、「 NetScaler 12.0 SNMP OIDリファレンス」の「NetScaler SNMP OIDリファレンス 」を参照してください。

公開前キーのロールオーバー

RFC 4641「DNSSEC の運用慣行」では、プレパブリッシュキーのロールオーバー方法について、初期、新規 DNSKEY、新しい RRSIGs、および DNSKEY の削除という 4 つの段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。

  • ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。

  • ステージ2:新しいダンスキー。新しいキーが作成され、ゾーンで公開されます。つまり、キーはADCに追加されますが、プレロールフェーズが完了するまでゾーンは新しいキーで署名されません。このステージでは、ゾーンには古いキー、新しいキー、および古いキーによって生成された RRSig が含まれます。プレロールフェーズの全期間にわたって新しいキーを公開すると、新しいキーに対応する DNSKEY リソースレコードがセカンダリネームサーバーに伝達されるまでの時間が与えられます。

    例:

    example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。プレロールフェーズが完了するまで、ゾーンは example.com.zsk2 で署名されません。example.com ゾーンには、example.com.zsk1 と example.com.zsk2 の両方の DNSKEY リソースレコードが含まれています。

    NetScaler コマンド:

    ADC で次のタスクを実行します。

    • create dns keyコマンドを使用して DNS キーを作成します。

      例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。

    • add dns keyコマンドを使用して、ゾーン内の新しい DNS キーを発行します。

      例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。

  • ステージ 3: 新しい RRSIGs。ゾーンは新しい DNS キーで署名され、その後古い DNS キーで署名が解除されます。古い DNS キーはゾーンから削除されず、古いキーによって生成された RRSig の有効期限が切れるまで公開されたままになります。

    例:

    ゾーンは example.com.zsk2 で署名され、次に example.com.zsk1 で署名解除されます。ゾーンは example.com.zsk1 によって生成された RRSIGの有効期限が切れるまで、example.com.zsk1 を引き続き公開します。

    NetScaler コマンド:

    ADC で次のタスクを実行します。

    • sign dns zone コマンドを使用して、新しい DNS キーでゾーンに署名します。
    • unsign dns zoneコマンドを使用して、古い DNS キーを使用してゾーンの署名を解除します。

    例を含むゾーンの署名と署名の解除の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。

  • ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。

    例:

    古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。

    NetScaler コマンド

    ADC で、rm dns key コマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。

二重署名キーのロールオーバー

RFC 4641「DNSSEC 運用慣行」では、二重署名キーのロールオーバーについて、初期、新規 DNSKEY、および DNSKEY 削除の 3 段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。

  • ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。

  • ステージ2:新しいダンスキー。新しい鍵がゾーンで公開され、ゾーンは新しい鍵で署名されます。ゾーンには、古いキーと新しいキーによって生成された RRSig が含まれます。ゾーンに両方の RRSIGセットが含まれている必要がある最小期間は、すべてのRRSIGの有効期限が切れるまでに必要な時間です。

    例:

    example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。ゾーンは example.com.zsk2 で署名されています。example.com ゾーンには、両方のキーから生成された RRSig が含まれるようになりました。

    NetScaler コマンド

    ADC で次のタスクを実行します。

    • create dns keyコマンドを使用して DNS キーを作成します。

      例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。

    • add dns keyコマンドを使用して、ゾーンに新しいキーを発行します。

      例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。

    • sign dns zoneコマンドを使用して、新しいキーでゾーンに署名します。

      例を含むゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。

  • ステージ3:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。

    例:

    古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。

    NetScaler コマンド:

    ADC で、rm dns key コマンドを使用して、古い DNS キーを削除します。

    例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。

ゾーンのメンテナンス