ADC

将 DNSSEC 操作卸载到 Citrix ADC

October 7, 2021

投稿者:

对于 DNS 服务器具有权威性的 DNS 区域，DNSSEC 操作可以卸载到 ADC 设备。在 DNSSEC 卸载部署中，DNS 服务器发送未签名的响应。ADC 先动态签署响应，然后再将响应转发给客户端。ADC 还会缓存签名响应。除了减少 DNS 服务器上的负载外，将 DNSSEC 操作卸载到 ADC 还具有以下优势：

您可以对 DNS 服务器以编程方式生成的记录进行签名。这些记录无法通过 DNS 服务器上执行的例行区域签名操作进行签名。
即使您尚未在服务器上实施 DNSSEC，也可以向客户端提供签名响应。

要设置 DNSSEC 卸载，必须配置 DNS 负载平衡虚拟服务器，配置代表 DNS 服务器的服务，然后将服务绑定到虚拟服务器。有关配置 DNS 负载平衡虚拟服务器、配置服务以及将服务绑定到虚拟服务器的信息，请参阅配置 DNS 区域。

在 ADC 上为要卸载其 DNSSEC 操作的每个 DNS 区域创建一个区域实体。对于每个 DNS 区域，必须启用代理模式和 DNSSEC 卸载参数。您可以选择配置卸载区域的 NSEC 记录生成。若要为 DNSSEC 卸载创建 DNS 区域实体，请按照本主题中的说明操作。

要完成配置，您必须为区域生成 DNS 密钥，将密钥添加到区域，然后使用密钥对区域进行签名。此过程与正常 DNSSEC 相同。有关创建密钥、向区域添加密钥以及对区域签名的信息，请参阅域名系统安全扩展。

配置 DNS 卸载后，必须刷新 Citrix ADC 上的 DNS 缓存。刷新 DNS 缓存可确保删除缓存中的所有未签名记录，然后替换为签名记录。有关刷新 DNS 缓存的信息，请参阅刷新 DNS 记录。

使用 CLI 为区域启用 DNSSEC 卸载

在命令行中，键入以下命令以启用区域的 DNSSEC 卸载并验证配置：

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

示例：

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

通过使用 GUI 为区域启用 DNSSEC 卸载

导航到 流量管理 > DNS > 区域。
在详细信息窗格中，执行以下操作之一：
- 要在 Citrix ADC 上创建区域，请单击“添加”。
- 要为现有区域配置 DNSSEC 卸载，请双击该区域。
在“创建 DNS 区域”或“配置 DNS 区域”对话框中，选中“代理模式和 DNSSEC 卸载”复选框。
或者，如果希望 Citrix ADC 为区域生成 NSEC 记录，请选中 NSEC 复选框。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

将 DNSSEC 操作卸载到 Citrix ADC

October 7, 2021

投稿者:

October 7, 2021

投稿者: