将 DNSSEC 操作转移到 NetScaler

May 11, 2023

投稿者:

对于您的 DNS 服务器具有权威性的 DNS 区域，可以将 DNSSEC 操作转移到 ADC 设备。在 DNSSEC 卸载部署中，DNS 服务器发送未签名的响应。在将响应中继到客户端之前，ADC 会对响应进操作态签名。ADC 还会缓存已签名的响应。除了减少 DNS 服务器的负载外，将 DNSSEC 操作转移到 ADC 还有以下好处：

您可以签署 DNS 服务器以编程方式生成的记录。此类记录无法通过在 DNS 服务器上执行的常规区域签名操作进行签名。
即使您尚未在服务器上实现 DNSSEC，也可以向客户端提供签名响应。

要设置 DNSSEC 卸载，必须配置 DNS 负载平衡虚拟服务器，配置代表 DNS 服务器的服务，然后将服务绑定到虚拟服务器。有关配置 DNS 负载平衡虚拟服务器、配置服务以及将服务绑定到虚拟服务器的信息，请参阅配置 DNS 区域。

在 ADC 上为要卸载其 DNSSEC 操作的每个 DNS 区域创建一个区域实体。对于每个 DNS 区域，必须启用代理模式和 DNSSEC 卸载参数。您可以选择为卸载区域配置 NSEC 记录生成。要创建用于 DNSSEC 卸载的 DNS 区域实体，请按照本主题中的说明进行操作。

要完成配置，必须为该区域生成 DNS 密钥，将密钥添加到该区域，然后使用密钥对区域进行签名。此过程与正常 DNSSEC 相同。有关创建密钥、向区域添加密钥以及对区域签名的信息，请参阅域名系统安全扩展。

配置 DNS 卸载后，必须刷新 NetScaler 上的 DNS 缓存。刷新 DNS 缓存可确保删除缓存中的所有未签名记录，然后替换为签名记录。有关刷新 DNS 缓存的信息，请参阅刷新 DNS 记录。

使用 CLI 为区域启用 DNSSEC 卸载

在命令行中，键入以下命令以启用区域的 DNSSEC 卸载并验证配置：

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
 

示例：

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
 

使用 GUI 为区域启用 DNSSEC 卸载

导航到 流量管理 > DNS > 区域。
在详细信息窗格中，执行以下操作之一：
- 要在 NetScaler 上创建区域，请单击“添加”。
- 要为现有区域配置 DNSSEC 卸载，请双击该区域。
在“创建 DNS 区域”或“配置 DNS 区域”对话框中，选中“代理模式”和“DNSSEC 卸载”复选框。
或者，如果您希望 NetScaler 为该区域生成 NSEC 记录，请选中 NSEC 复选框。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

将 DNSSEC 操作转移到 NetScaler

May 11, 2023

投稿者:

在本文中

这是否有帮助？