-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ゾーンのメンテナンス
DNSSEC の観点から見ると、ゾーンのメンテナンスでは、キーの有効期限が迫っているときにゾーン署名キーとキー署名キーをロールオーバーする必要があります。これらのゾーンメンテナンスタスクは手動で実行することも、自動ロールオーバー機能を有効にしてプロセスを自動化することもできます。自動化されると、ゾーンは自動的に再署名されます。ただし、親ゾーンの DS レコードを更新するには手動による操作が必要です。
更新したゾーンに再署名する
ゾーンが更新(レコードの追加または既存のレコードの変更)されると、アプライアンスは新しい(または変更された)レコードに自動的に再署名します。ゾーンに複数のゾーン署名キーが含まれている場合、アプライアンスはゾーンの署名に使用されたキーで新しい(または変更された)レコードに再署名します。
GSLB でのゾーン転送
すべてのGSLBサイトでDNSキーを更新するのは時間がかかる場合があり、1つ以上のGSLBサイトで更新を見逃す可能性があります。これを防ぐには、ゾーン転送オプションを使用して、あるDNSサーバーで更新した後で他のGSLBサイトのDNSキーを同期させることができます。ゾーン転送を有効にすると、すべてのゾーンに関連するすべてのDNS構成レコードが他のGSLBサイトに同期されます。
注:
GSLB ドメインでは、ゾーンまたは DNSSEC の設定はオプションです。
ゾーン転送を設定するには、 DNSSEC の設定を参照してください。
DNSSEC キーをロールオーバー
注: DNSSEC キー (KSK、ZSK) は、有効期限が切れる前に手動または自動でロールオーバーしてください。
NetScalerでは、プリパブリッシュと二重署名の方法を使用して、ゾーン署名キーとキー署名キーのロールオーバーを実行できます。これら 2 つのロールオーバー方法の詳細については、RFC 4641「DNSSEC の運用慣行」を参照してください。
以下のトピックでは、ADC のコマンドを RFC 4641 で説明されているロールオーバー手順のステップにまとめています。
キーの有効期限の通知は、dnskeyExpiry という SNMP トラップを介して送信されます。dnskey有効期限 SNMP トラップと共に、dnskeyName、有効期限が切れるまでの時間、および期限切れのdnskey単位の 3 つの MIB 変数が送信されます。 詳細については、「 NetScaler 12.0 SNMP OIDリファレンス」の「NetScaler SNMP OIDリファレンス 」を参照してください。 この SNMP アラームは、自動キーロールオーバーオプションが有効になっていない場合にのみ送信されます。
自動キーロールオーバー
キーのロールオーバーを自動化することで、キーの有効期限を把握する必要がなくなり、キーのロールオーバーを見逃す可能性もなくなります。 新しいキーを作成するときに、予定された日付にキーロールオーバープロセスを自動化できます。 自動キーロールオーバーを設定するには、 DNSSEC の設定を参照してください。
公開前キーのロールオーバー
RFC 4641「DNSSEC の運用慣行」では、プレパブリッシュキーのロールオーバー方法について、初期、新規 DNSKEY、新しい RRSIGs、および DNSKEY の削除という 4 つの段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。
-
ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。
例:
example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。
-
ステージ2:新しいダンスキー。新しいキーが作成され、ゾーンで公開されます。つまり、キーはADCに追加されますが、プレロールフェーズが完了するまでゾーンは新しいキーで署名されません。このステージでは、ゾーンには古いキー、新しいキー、および古いキーによって生成された RRSig が含まれます。プレロールフェーズの全期間にわたって新しいキーを公開すると、新しいキーに対応する DNSKEY リソースレコードがセカンダリネームサーバーに伝達されるまでの時間が与えられます。
例:
example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。プレロールフェーズが完了するまで、ゾーンは example.com.zsk2 で署名されません。example.com ゾーンには、example.com.zsk1 と example.com.zsk2 の両方の DNSKEY リソースレコードが含まれています。
NetScaler コマンド:
NetScalerで次のタスクを実行します:
-
create dns key
コマンドを使用して DNS キーを作成します。例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。
-
add dns key
コマンドを使用して、ゾーン内の新しい DNS キーを発行します。例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
-
-
ステージ 3: 新しい RRSIGs。ゾーンは新しい DNS キーで署名され、その後古い DNS キーで署名が解除されます。古い DNS キーはゾーンから削除されず、古いキーによって生成された RRSig の有効期限が切れるまで公開されたままになります。
例:
ゾーンは example.com.zsk2 で署名され、次に example.com.zsk1 で署名解除されます。ゾーンは example.com.zsk1 によって生成された RRSIGの有効期限が切れるまで、example.com.zsk1 を引き続き公開します。
NetScaler コマンド:
NetScalerで次のタスクを実行します:
-
sign dns zone
コマンドを使用して、新しい DNS キーでゾーンに署名します。 -
unsign dns zone
コマンドを使用して、古い DNS キーを使用してゾーンの署名を解除します。
例を含むゾーンの署名と署名の解除の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
-
-
ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。
例:
古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。
NetScaler コマンド
ADC で、
rm dns key
コマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。
二重署名キーのロールオーバー
RFC 4641「DNSSEC 運用慣行」では、二重署名キーのロールオーバーについて、初期、新規 DNSKEY、および DNSKEY 削除の 3 段階が定義されています。各ステージには、ADCで実行する必要がある一連のタスクが関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。
-
ステージ 1: 初期。ゾーンには、そのゾーンが現在署名されているキーセットのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。
例:
example.com.zsk1 というキーを考えてみましょう。このキーを使用して example.com ゾーンが署名されます。ゾーンには、有効期限が近づいている example.com.zsk1 キーによって生成された RRSIGのみが含まれます。キー署名キーは example.com.ksk1 です。
-
ステージ2:新しいダンスキー。新しい鍵がゾーンで公開され、ゾーンは新しい鍵で署名されます。ゾーンには、古いキーと新しいキーによって生成された RRSig が含まれます。ゾーンに両方の RRSIGセットが含まれている必要がある最小期間は、すべてのRRSIGの有効期限が切れるまでに必要な時間です。
例:
example.com.zsk2 という新しいキーが example.com ゾーンに追加されます。ゾーンは example.com.zsk2 で署名されています。example.com ゾーンには、両方のキーから生成された RRSig が含まれるようになりました。
NetScaler コマンド
NetScalerで次のタスクを実行します:
-
create dns key
コマンドを使用して DNS キーを作成します。例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。
-
add dns key
コマンドを使用して、ゾーンに新しいキーを発行します。例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
-
sign dns zone
コマンドを使用して、新しいキーでゾーンに署名します。例を含むゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
-
-
ステージ3:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。
例:
古い DNS キー example.com.zsk1 は example.com ゾーンから削除されます。
NetScaler コマンド:
NetScalerでは、
rm dns key
コマンドを使用して古いDNSキーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。
ダブルリセット
RFC 7583「DNSSEC キーロールオーバータイミングに関する考慮事項」では、ダブルリセットロールオーバーの 3 つの段階 (初期、新しい DNSKEY、DNSKEY の削除) を定義しています。各ステージは、NetScalerで実行する必要のある一連のタスクに関連付けられています。次に、各ステージと実行する必要があるタスクの説明を示します。ここで説明するロールオーバー手順は、キー署名キーに使用されます。
-
ステージ 1: 初期。ゾーンには、そのゾーンに現在署名されているキーセットとレコードのみが含まれます。初期段階のゾーンの状態は、キーロールオーバープロセスを開始する直前のゾーンの状態です。
例:
example.com.zsk1 というキーと key.example.com.ksk1 というキーを考えてみましょう。これらのキーを使ってゾーン example.com と DNSSEC キーがそれぞれ署名されます。ゾーンには、example.com.ksk1 キーによって生成された、有効期限が迫っている DNSKEY RRSigのみが含まれています。
-
ステージ2:新しいダンスキー。新しいデンスキー。新しい KSK キーが作成され、ゾーンで公開されます。ゾーンでは 2 つの DNSSEC キーと RRSig を使用できます。1 つは古いキーで作成され、もう 1 つは新しいキーで作成されます。親ゾーンの新しい DS レコードを更新します。これで、親ゾーンには 2 つの DS レコードがあります。1 つは新しく作成されたキー用、もう 1 つは古いキー用です。
注:
DS レコードが親ゾーンで使用できるようになるまでに時間がかかることがあります。
ゾーンには、古いキーと新しいキーによって生成された RRSig が含まれます。ゾーンに両方の RRSIG セットが含まれるようにするには、すべての RRSIG (DNSKEY レコードの TTL 値) の有効期限が切れるまで待つ必要があります。さらに、DNS 階層の場合は伝播遅延を考慮する必要があります。 例:
A new key example.com.ksk2 is added to the example.com zone. The zone is signed with example.com.ksk2. The example.com zone now contains the RRSIGs generated from both keys.
**NetScaler commands**
Perform the following tasks on NetScaler:
- Create a DNS key by using the `create dns key` command.
For more information about creating a DNS key, including an example, see [Create DNS keys for a zone](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
- Publish the new key in the zone by using the `add dns key` command.
For more information about publishing the key in the zone, including an example, see [Publish a DNS key in a zone](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
- Sign the zone with the new key by using the `sign dns zone` command.
For more information about signing a zone, including examples, see [Sign and unsign a DNS zone](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
-
ステージ 3: 古いキーでゾーンの署名を解除します。
新しい DNSSEC キーがリゾルバーにキャッシュされるのに十分な時間が経過したら、古いキーでゾーンの署名を解除できます。
unsign dns zone
コマンドを使用して、古いキーでゾーンの署名を解除します。ゾーンの署名解除に関する例を含む詳細については、「 DNS ゾーンの署名と署名解除」を参照してください。
-
ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSig の有効期限が切れると、古い DNS キーはゾーンから削除されます。
注:
キーを削除する前に、ゾーンの署名が解除されていることを確認してください。
**Example:**
The old DNS key example.com.ksk1 is removed from the example.com zone.
**NetScaler commands:**
On the ADC, you remove the old DNS key by using the `rm dns key` command. For more information about removing a key from a zone, including an example, see [Remove a DNS key](/ja-jp/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.