ADC
ご意見をお寄せいただきありがとうございました

この記事は機械翻訳されています.免責事項

ゾーンのメンテナンス

DNSSEC の観点から見ると、ゾーンのメンテナンスでは、キーの有効期限が迫っているときにゾーン署名キーとキー署名キーをロールオーバーする必要があります。これらのゾーンメンテナンスタスクは手動で実行することも、自動ロールオーバー機能を有効にしてプロセスを自動化することもできます。自動化されると、ゾーンは自動的に再署名されます。ただし、親ゾーンの DS レコードを更新するには手動による操作が必要です。

更新したゾーンに再署名する

ゾーンが更新(レコードの追加または既存のレコードの変更)されると、アプライアンスは新しい(または変更された)レコードに自動的に再署名します。ゾーンに複数のゾーン署名キーが含まれている場合、アプライアンスはゾーンの署名に使用されたキーで新しい(または変更された)レコードに再署名します。

GSLB でのゾーン転送

すべてのGSLBサイトでDNSキーを更新するのは時間がかかる場合があり、1つ以上のGSLBサイトで更新を見逃す可能性があります。これを防ぐには、ゾーン転送オプションを使用して、あるDNSサーバーで更新した後で他のGSLBサイトのDNSキーを同期させることができます。ゾーン転送を有効にすると、すべてのゾーンに関連するすべてのDNS構成レコードが他のGSLBサイトに同期されます。

注:

GSLB ドメインでは、ゾーンまたは DNSSEC の設定はオプションです。

ゾーン転送を設定するには、 DNSSEC の設定を参照してください

DNSSEC キーをロールオーバー

注: DNSSEC キー (KSK、ZSK) は、有効期限が切れる前に手動または自動でロールオーバーしてください。

NetScalerでは、プリパブリッシュと二重署名の方法を使用して、ゾーン署名キーとキー署名キーのロールオーバーを実行できます。これら 2 つのロールオーバー方法の詳細については、RFC 4641「DNSSEC の運用慣行」を参照してください。

以下のトピックでは、ADC のコマンドを RFC 4641 で説明されているロールオーバー手順のステップにまとめています。

キーの有効期限の通知は、dnskeyExpiry という SNMP トラップを介して送信されます。dnskey有効期限 SNMP トラップと共に、dnskeyName、有効期限が切れるまでの時間、および期限切れのdnskey単位の 3 つの MIB 変数が送信されます。 詳細については、「 NetScaler 12.0 SNMP OIDリファレンス」の「NetScaler SNMP OIDリファレンス 」を参照してください。 この SNMP アラームは、自動キーロールオーバーオプションが有効になっていない場合にのみ送信されます。

自動キーロールオーバー

キーのロールオーバーを自動化することで、キーの有効期限を把握する必要がなくなり、キーのロールオーバーを見逃す可能性もなくなります。 新しいキーを作成するときに、予定された日付にキーロールオーバープロセスを自動化できます。 自動キーロールオーバーを設定するには、 DNSSEC の設定を参照してください

公開前キーのロールオーバー

RFC 4641「DNSSEC の運用慣行」では、プレパブリッシュキーのロールオーバー方法について、初期、新規 DNSKEY、新しい RRSIGs、および DNSKEY の削除という 4 つの段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。

  • ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。

  • ステージ2:新しいダンスキー。新しいキーが作成され、ゾーンで公開されます。つまり、キーはADCに追加されますが、プレロールフェーズが完了するまでゾーンは新しいキーで署名されません。このステージでは、ゾーンには古いキー、新しいキー、および古いキーによって生成された RRSig が含まれます。プレロールフェーズの全期間にわたって新しいキーを公開すると、新しいキーに対応する DNSKEY リソースレコードがセカンダリネームサーバーに伝達されるまでの時間が与えられます。

    例:

    example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。プレロールフェーズが完了するまで、ゾーンは example.com.zsk2 で署名されません。example.com ゾーンには、example.com.zsk1 と example.com.zsk2 の両方の DNSKEY リソースレコードが含まれています。

    NetScaler コマンド:

    NetScalerで次のタスクを実行します:

    • create dns keyコマンドを使用して DNS キーを作成します。

      例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。

    • add dns keyコマンドを使用して、ゾーン内の新しい DNS キーを発行します。

      例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。

  • ステージ 3: 新しい RRSIGs。ゾーンは新しい DNS キーで署名され、その後古い DNS キーで署名が解除されます。古い DNS キーはゾーンから削除されず、古いキーによって生成された RRSig の有効期限が切れるまで公開されたままになります。

    例:

    ゾーンは example.com.zsk2 で署名され、次に example.com.zsk1 で署名解除されます。ゾーンは example.com.zsk1 によって生成された RRSIGの有効期限が切れるまで、example.com.zsk1 を引き続き公開します。

    NetScaler コマンド:

    NetScalerで次のタスクを実行します:

    • sign dns zone コマンドを使用して、新しい DNS キーでゾーンに署名します。
    • unsign dns zoneコマンドを使用して、古い DNS キーを使用してゾーンの署名を解除します。

    例を含むゾーンの署名と署名の解除の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。

  • ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。

    例:

    古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。

    NetScaler コマンド

    ADC で、rm dns key コマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。

二重署名キーのロールオーバー

RFC 4641「DNSSEC 運用慣行」では、二重署名キーのロールオーバーについて、初期、新規 DNSKEY、および DNSKEY 削除の 3 段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。

  • ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。

  • ステージ2:新しいダンスキー。新しい鍵がゾーンで公開され、ゾーンは新しい鍵で署名されます。ゾーンには、古いキーと新しいキーによって生成された RRSig が含まれます。ゾーンに両方の RRSIGセットが含まれている必要がある最小期間は、すべてのRRSIGの有効期限が切れるまでに必要な時間です。

    例:

    example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。ゾーンは example.com.zsk2 で署名されています。example.com ゾーンには、両方のキーから生成された RRSig が含まれるようになりました。

    NetScaler コマンド

    NetScalerで次のタスクを実行します:

    • create dns keyコマンドを使用して DNS キーを作成します。

      例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。

    • add dns keyコマンドを使用して、ゾーンに新しいキーを発行します。

      例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。

    • sign dns zoneコマンドを使用して、新しいキーでゾーンに署名します。

      例を含むゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。

  • ステージ3:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。

    例:

    古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。

    NetScaler コマンド:

    NetScalerでは、rm dns keyコマンドを使用して古いDNSキーを削除します。

    例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。

ダブルリセット

RFC 7583「DNSSEC キーロールオーバータイミングに関する考慮事項」では、ダブルリセットロールオーバーの 3 つの段階 (初期、新しい DNSKEY、DNSKEY の削除) を定義しています。各ステージは、NetScalerで実行する必要のある一連のタスクに関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーに使用されます。

  • ステージ 1: 初期。ゾーンには、そのゾーンに現在署名されているキーセットとレコードのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    example.com.zsk1 というキーと key.example.com.ksk1 というキーを考えてみましょう。これらのキーを使ってゾーン example.com と DNSSEC キーがそれぞれ署名されます。ゾーンには、example.com.ksk1 キーによって生成された、有効期限が迫っている DNSKEY RRSigのみが含まれています。

  • ステージ2:新しいダンスキー。新しいデンスキー。新しい KSK キーが作成され、ゾーンで公開されます。ゾーンでは 2 つの DNSSEC キーと RRSig を使用できます。1 つは古いキーで作成され、もう 1 つは新しいキーで作成されます。親ゾーンの新しい DS レコードを更新します。これで、親ゾーンには 2 つの DS レコードがあります。1 つは新しく作成されたキー用、もう 1 つは古いキー用です。

注:

DS レコードが親ゾーンで使用できるようになるまでに時間がかかることがあります。

ゾーンには、古いキーと新しいキーによって生成された RRSig が含まれます。ゾーンに両方の RRSIG セットが含まれるようにするには、すべての RRSIG (DNSKEY レコードの TTL 値) の有効期限が切れるまで待つ必要があります。さらに、DNS 階層の場合は伝播遅延を考慮する必要があります。 例:

A new key example.com.ksk2 is added to the example.com zone. The zone is signed with example.com.ksk2. The example.com zone now contains the RRSIGs generated from both keys.

 **NetScaler commands**

Perform the following tasks on NetScaler:

-  Create a DNS key by using the `create dns key` command.

    For more information about creating a DNS key, including an example, see [Create DNS keys for a zone](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).

-  Publish the new key in the zone by using the `add dns key` command.

    For more information about publishing the key in the zone, including an example, see [Publish a DNS key in a zone](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).

-  Sign the zone with the new key by using the `sign dns zone` command.

    For more information about signing a zone, including examples, see [Sign and unsign a DNS zone](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
  • ステージ 3: 古いキーでゾーンの署名を解除します。

    新しい DNSSEC キーがリゾルバーにキャッシュされるのに十分な時間が経過したら、古いキーでゾーンの署名を解除できます。

    unsign dns zone コマンドを使用して、古いキーでゾーンの署名を解除します。

    ゾーンの署名解除に関する例を含む詳細については、「 DNS ゾーンの署名と署名解除」を参照してください。

  • ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。

注:

キーを削除する前に、ゾーンの署名が解除されていることを確認してください。

**Example:**

The old DNS key example.com.ksk1 is removed from the example.com zone.

**NetScaler commands:**

On the ADC, you remove the old DNS key by using the `rm dns key` command. For more information about removing a key from a zone, including an example, see [Remove a DNS key](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
ゾーンのメンテナンス