-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
AWSでNetScaler ADC VPXインスタンスを展開する
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ゾーンのメンテナンス
DNSSEC の観点から見ると、ゾーンのメンテナンスには、キーの有効期限が近づいたときに、ゾーン署名キーとキー署名キーのロールオーバーが含まれます。これらのゾーン保守タスクは手動で実行する必要があります。ゾーンは自動的に再署名されるため、手動による介入は必要ありません。
更新されたゾーンの再署名
ゾーンが更新(レコードの追加または既存のレコードの変更)されると、アプライアンスは自動的に新しい(または変更された)レコードを再署名します。ゾーンに複数のゾーン署名キーが含まれている場合、アプライアンスはゾーンの署名に使用したキーを使用して新しい(または変更された)レコードに再署名します。
DNSSECキーをロールオーバーする
注: 有効期限が切れる前に、DNSSEC キー (KSK、ZSK) を手動でロールオーバーします。
Citrix ADCでは、事前公開方法と二重署名方法を使用して、ゾーン署名キーとキー署名キーのロールオーバーを実行できます。これらの 2 つのロールオーバー方法の詳細については、RFC 4641「DNSSEC 運用慣行」を参照してください。
次のトピックでは、ADC のコマンドを、RFC 4641 で説明したロールオーバー手順のステップにマッピングします。
キーの有効期限の通知は、dnskeyExpiry という SNMP トラップを介して送信されます。dnskey有効期限 SNMP トラップと共に、dnskeyName、有効期限が切れるまでの時間、および期限切れのdnskey単位の 3 つの MIB 変数が送信されます。詳細については、『 NetScaler 12.0 SNMP OIDリファレンス』の「CitrixNetScaler SNMP OIDリファレンス」を参照してください。
公開前キーのロールオーバー
RFC 4641「DNSSEC運用慣行」では、公開前キーのロールオーバー方法の4つの段階、つまり、初期、新しいDNSKEY、新しいRRSIG、およびDNSKEYの削除が定義されています。各ステージは、ADC で実行する必要がある一連のタスクに関連付けられています。次に、各ステージの説明と実行する必要があるタスクを示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。
-
ステージ 1: イニシャル。ゾーンには、ゾーンが現在署名されているキーセットのみが含まれます。初期段階でのゾーンの状態は、キーのロールオーバープロセスを開始する直前のゾーンの状態です。
例:
ゾーンexample.comが署名されているキーexample.com.zsk1を考えてみましょう。ゾーンには、example.com.zsk1 キーによって生成された RRSG だけが含まれます。この期限は期限切れになります。キー署名キーは example.com.ksk1 です。
-
ステージ2:新しいDNSKEY。新しいキーが作成され、ゾーンで公開されます。つまり、キーはADCに追加されますが、プレロールフェーズが完了するまで、ゾーンは新しいキーで署名されません。この段階では、ゾーンには古いキー、新しいキー、および古いキーによって生成された RRSG が含まれます。プレロールフェーズの全期間にわたって新しいキーを公開すると、新しいキーに対応するDNSKEYリソースレコードがセカンダリネームサーバーに伝播されます。
例:
新しいキー example.com.zsk2 が example.com ゾーンに追加されます。プリロールフェーズが完了するまで、ゾーンには example.com.zsk2 で署名されません。このゾーンには、example.com.zsk1 とexample.com.zsk2 の両方の DNSKEY リソースレコードが含まれています。
Citrix ADC コマンドは以下のとおりです。
ADC で次のタスクを実行します。
-
create dns keyコマンドを使用して DNS キーを作成します。例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。
-
add dns keyコマンドを使用して、ゾーン内の新しい DNS キーを発行します。例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
-
-
ステージ 3: 新しい RRSIGs。ゾーンは新しい DNS キーで署名され、古い DNS キーで署名されていません。古い DNS キーはゾーンから削除されず、古いキーによって生成された RRSG の有効期限が切れるまで公開されたままになります。
例:
ゾーンは example.com.zsk2 で署名され、次に example.com.zsk1 で署名されていません。ゾーンは、example.com.zsk1 によって生成された RRSG の有効期限が切れるまで example.com.zsk1 を発行し続けます。
Citrix ADC コマンドは以下のとおりです。
ADC で次のタスクを実行します。
-
sign dns zoneコマンドを使用して、新しい DNS キーを使用してゾーンに署名します。 -
unsign dns zoneコマンドを使用して、古い DNS キーを使用してゾーンの署名を解除します。
例を含むゾーンの署名と署名の解除の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
-
-
ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSG の有効期限が切れると、古い DNS キーがゾーンから削除されます。
例:
古い DNS キー example.com.zsk1 が example.com ゾーンから削除されます。
Citrix ADC コマンド
ADC で、
rm dns keyコマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。
二重署名キーのロールオーバー
RFC 4641、「DNSSEC 運用慣行」では、二重署名キーのロールオーバーについて、初期、新しい DNSKEY、および DNSKEY 削除の 3 つの段階が定義されています。各ステージは、ADC で実行する必要がある一連のタスクに関連付けられています。次に、各ステージの説明と実行する必要があるタスクを示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。
-
ステージ 1: イニシャル。ゾーンには、ゾーンが現在署名されているキーセットのみが含まれます。初期段階でのゾーンの状態は、キーのロールオーバープロセスを開始する直前のゾーンの状態です。
例:
ゾーンexample.comが署名されているキーexample.com.zsk1を考えてみましょう。ゾーンには、example.com.zsk1 キーによって生成された RRSG だけが含まれます。この期限は期限切れになります。キー署名キーは example.com.ksk1 です。
-
ステージ2:新しいDNSKEY。新しいキーがゾーンで発行され、ゾーンは新しいキーで署名されます。ゾーンには、古いキーと新しいキーによって生成される RRSG が含まれます。ゾーンに両方の RRSG セットを含める必要がある最小期間は、すべての RRSG が期限切れになるまでの時間です。
例:
新しいキー example.com.zsk2 が example.com ゾーンに追加されます。ゾーンは example.com.zsk2 で署名されています。example.com ゾーンに、両方のキーから生成された RRSG が含まれるようになりました。
Citrix ADC コマンド
ADC で次のタスクを実行します。
-
create dns keyコマンドを使用して DNS キーを作成します。例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。
-
add dns keyコマンドを使用して、ゾーンに新しいキーを発行します。例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
-
sign dns zoneコマンドを使用して、新しいキーでゾーンに署名します。例を含むゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
-
-
ステージ3:DNSKEYの取り外し。古い DNS キーによって生成された RRSG の有効期限が切れると、古い DNS キーがゾーンから削除されます。
例:
古い DNS キー example.com.zsk1 が example.com ゾーンから削除されます。
Citrix ADC コマンドは以下のとおりです。
ADC で、
rm dns keyコマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.