Konfiguration af DNSSEC- og DNS-sikkerhed

Domænenavnesystem (DNS) oversætter domænenavne, der kan læses af mennesker, f.eks. google.com, til den maskinlæsbare IP-adresse for et website, f.eks. 172.217.3.206. Du kan konfigurere DNS Security Extensions (DNSSEC) for at forhindre trusler mod dit domæne, f.eks. cachegiftangreb og DNS-spoofing.

Aktivér DNSSEC for dit domæne

Vigtigt!

  • Nogle topdomæner (TLD, top-level domain) accepterer offentlige DNS-nøgleregistreringer (DNSKEY) i stedet for DS-registreringer (Delegation Signer).
  • Hvis du oprindeligt har købt dit domænenavn hos Google Domains, er DNSSEC muligvis allerede konfigureret for dig.

Hvis du vil konfigurere DNSSEC for dit domæne, skal du føje specifikke ressourceregistreringer til din DNS- eller signaturzone og udgive dem for dit domæne. Hvis du bruger den automatiske DNSSEC-konfiguration af Google Domains, håndterer vi begge trin for dig. Det kan tage op til 24 timer at opdatere ændringerne på internettet, inden DNSSEC er aktivt.

  1. Log ind på Google Domains.
  2. Vælg dit domæne.
  3. Øverst til venstre skal du vælge Menu "" og derefter DNS.
  4. Vælg enten Standardnavneservere eller Tilpassede navneservere.
  5. Rul til "DNSSEC"-kortet eller -feltet.
    • For standardnavneservere: Klik på Slå til. Hvis DNSSEC allerede er slået til, vises "DNSSEC er aktiveret".
    • For tilpassede navneservere: Klik på Administrer DS-registreringer, og angiv oplysningerne fra din DNS-udbyder.
      1. Angiv de værdier, der leveres af din tredjeparts-DNS-udbyder for DNSSEC eller DNSKEY for den tilpassede navneserver.
      2. Hvis du vil tilføje flere registreringer på samme tid, kan du klikke på Opret ny registrering.
      3. Klik på Gem.

Tips!

  • Hvis du vælger ikke at vente på, at dine DNSKEY-registreringer bliver udgivet, skal du udvide DNSSEC-kortet under "DNSSEC" og klikke på Offentliggør registreringerne nu.
  • Når du aktiverer DNSSEC, signerer Google Domains automatisk din DNS-zone og offentliggør dine DS-registreringer (Delegation Signer) inden for 2 timer.
Værdier, der er nødvendige til DNSSEC for den tilpassede navneserver

Hvis du bruger tilpassede navneservere, skal du samarbejde med din tredjeparts-DNS-udbyder om at signere DNS-zonen for dit domæne. For hver DNSKEY skal du skaffe følgende værdier fra din DNS-udbyder:

  • Nøgletag: Numerisk værdi, der henviser til en eksisterende DNSKEY-registrering.
  • Algoritme: Krypteringsalgoritmen, der genererer sikkerhedsnøglen i DNSKEY-registreringen. Den parres som regel med en hashfunktion, f.eks. RSA/SHA1.
  • Hash-værditype: Algoritme, der opretter hash-værdien for en DNSKEY-registrering. Den kaldes også hash-algoritme, sammenfatningshash eller hashfunktion.
  • Hash-værdi: Hash-værdien for DNSKEY-registreringen, som identificerer den entydigt uden at eksponere nøglens værdi. Afhængigt af hashtypen kan længden være:
    • SHA1: 40 hexadecimaltegn
    • SHA256: 64 hexadecimaltegn
    • SHA384: 96 hexadecimaltegn
Værdier, der er nødvendige til DNSKEY'er for den tilpassede navneserver

Hvis du bruger tilpassede navneservere, skal du kontakte din tredjeparts-DNS-udbyder for at logge ind på DNS-zonerne for dit domæne. For hver DNSKEY skal du skaffe følgende værdier fra din DNS-udbyder:

  • Flag: Oplysninger, som informerer DNS og DNS-resolverne om, hvordan DNSKEY-registreringen skal fortolkes. Denne værdi er indstillet til 256 eller 257 som standard.
  • Protokol: Angiver, hvilken version af DNSSEC der anvendes. Denne værdi er altid indstillet til 3.
  • Algoritme: Angiver, hvilken type kryptografisk algoritme der anvendes til det offentlige/private nøglepar.
  • Offentlig nøgle: Den nøgle, som DNS-resolverne bruger til at validere, at DNS-registreringer ikke er blevet manipuleret.

Deaktiver DNSSEC for dit domæne

  1. Log ind på Google Domains.
  2. Vælg dit domæne.
  3. Vælg Menu "" og derefter DNS.
  4. Rul til "DNSSEC"-kortet eller -feltet.
    • For standardnavneservere: Vælg Slå fra.
    • For tilpassede navneservere: Klik på Slet ud for hver registrering.
  5. Vælg Gem.

Tips!

  • Hvis du for dine tilpassede navneservere vil fjerne dine DNSSEC-relaterede ressourceregistreringer fra din zone, kan du samarbejde med din DNS-udbyder.
  • Når du deaktiverer DNSSEC, fjerner Google Domains øjeblikkeligt dit domænes DS-registreringer. Når ændringen opdateres på internettet, beskyttes dit domæne ikke længere af DNSSEC. Det kan tage op til 48 timer. Google Domains fjerner muligvis signaturen fra din DNS-zone for at gennemføre deaktiveringen af DNSSEC.

Brug dynamisk DNS

Vigtigt! Dynamisk DNS fungerer med IPv4- og IPv6-adresser, men ikke på samme tid.

Dynamisk DNS giver dig mulighed for at dirigere dit domæne eller et underdomæne til en ressource, som befinder sig bag en gateway og har en dynamisk tildelt IP-adresse. Hvis du vil bruge dynamisk DNS, skal du bruge standardnavneserverne fra Google Domains.

Hvis du konfigurerer dynamisk DNS med Google Domains, kan du:

  • Oprette en A- eller AAAA-registrering for dit domæne eller underdomæne, der får Googles navneservere til at forvente en dynamisk IP-adresse.
  • Generere et brugernavn og en adgangskode, som din host eller server kan bruge til at viderebringe den nye IP-adresse til Googles navneservere.

Når du har konfigureret dynamisk DNS, skal du konfigurere et klientprogram på din host, server eller gateway, som:

  • Registrerer ændringer af IP-adressen
  • Bruger det genererede brugernavn og den genererede adgangskode
  • Viderebringer den nye adresse til Googles navneservere

Konfigurerer dynamisk DNS

  1. Log ind på Google Domains på din computer.
  2. Vælg dit domæne.
  3. Klik på Menu "" og derefter DNS.
  4. Vælg Standardnavneservere for Google Domains (aktive).
  • Hvis "Tilpassede navneservere (aktive)" er valgt, har du allerede tilpassede navneservere, og du kan ikke bruge Google Domains' dynamiske DNS-tjeneste.
  1. Klik på Vis avancerede indstillinger.
  2. Klik på Administrer dynamisk DNS og derefter Opret ny registrering.
  3. Hvis du vil tildele en dynamisk IP-adresse, skal du angive navnet på underdomænet eller roddomænet.
  4. Klik på Gem.

Her kan du se nogle andre muligheder for at administrere dit dynamiske DNS:

  • Sådan får du vist registreringsværdierne: Klik på trekanten ud for registreringen.
  • Sådan får du vist det brugernavn og den adgangskode, der er oprettet for en registrering: Klik på Vis loginoplysninger.
  • Sådan konfigurerer du din gateway eller klientsoftware, så den kontakter Googles navneservere: Brug det brugernavn og den adgangskode, som er blevet oprettet for registreringen.
  • Sådan sletter du en registrering:
    1. Gå til "Ressourceregistreringer".
    2. Klik på trekanten ud for "Dynamisk DNS".
    3. Vælg Slet.

Konfigurer et klientprogram på din gateway, host eller server

Der er flere populære klienter til dynamisk DNS i brug, f.eks. DDclient og INADYN. De fleste routere kan registrere IP-ændringer og viderebringe dem til navneserverne via deres indbyggede software.

Konfigurer din klient til dynamisk DNS med følgende:

  • Udbyder, DNS eller tjeneste: Navnet på din DNS-udbyder
  • Brugernavn eller loginoplysninger: Det genererede brugernavn i den dynamiske DNS-registrering
  • Adgangskode eller loginoplysninger: Den genererede adgangskode i den dynamiske DNS-registrering

Når du har oprettet registreringen og konfigureret din klientsoftware, skal du teste registreringen. Angiv underdomænet og domænet i en browser eller en passende klient, og sørg for, at de har forbindelse til den rigtige ressource.

Tip! Google Domains bruger dyndns2-protokollen.

Eksempler

DDclient understøtter nu Google Domains.

DDclient med understøttelse af Google Domains

ddclient.conf-poster:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Eksempler på almindelig konfiguration af klienter:

DDclient
uden understøttelse af Google Domains
INADYN

Eksempler på ddclient.conf-poster:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Føj følgende til din inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

Opdater din dynamiske DNS-registrering med API'en

Dynamisk DNS-klientsoftware opdaterer automatisk din dynamiske DNS-registrering. Du kan udføre opdateringer manuelt ved hjælp af API'en. Det gør du ved at lave en POST- eller GET-anmodning til følgende webadresse:
domains.google.com/nic/update
API'en kræver HTTPS. Her er et eksempel på en anmodning:
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Angiv en brugeragent

Vigtigt! Du skal også angive en brugeragent i din anmodning.

I forbindelse med test af webadressen, der er angivet umiddelbart ovenfor, domains.google.com/nic/update), tilføjer webbrowsere normalt en brugeragent for dig. Den endelige HTTP-forespørgsel, der sendes til vores servere, skal ligne denne:

Eksempel på HTTP-forespørgsel:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com

Anmodningsparametre:

Parameter Obligatorisk eller valgfri Beskrivelse
username:password Skal udfyldes Det genererede brugernavn og den genererede adgangskode, der er knyttet til den host, der skal opdateres.
hostname Skal udfyldes Det hostname, der skal opdateres.
myip
  • Valgfrit ved IPv4.
  • Obligatorisk, hvis du har en IPv6-adresse.
Den IP-adresse, der er angivet til hosten. Hvis den ikke angives, bruger vi IP-adressen for den agent, der sendte anmodningen.

Vigtigt! myip er påkrævet, hvis din agent bruger en IPv6-adresse. Du kan tjekke din agents IP-adresse på: https://domains.google.com/checkip.

offline Valgfrit Angiver den nuværende hosts status som offline. Hvis der udføres en opdateringsanmodning på en offlinehost, fjernes offlinestatussen fra hosten.
De tilladte værdier er:
  • yes
  • nej

Når anmodningen er behandlet, får du et af følgende svar.

Vigtigt! Sørg for at tolke svaret korrekt, da du ellers risikerer, at din klient bliver blokeret i vores system.

Svar Status Beskrivelse
good {user’s IP address} Gennemført Opdateringen er fuldført. Du bør ikke forsøge endnu en opdatering, før din IP-adresse er blevet ændret.
nochg {user’s IP address} Gennemført Den anførte IP-adresse er allerede angivet for denne host. Du bør ikke forsøge endnu en opdatering, før din IP-adresse er blevet ændret.
nohost Fejl Hostname findes ikke eller har ikke aktiveret dynamisk DNS.
badauth Fejl Kombinationen af brugernavn og adgangskode er ikke gyldig for den angivne host.
notfqdn Fejl Det anførte hostname er ikke et gyldigt og fuldt ud kvalificeret domænenavn.
badagent Fejl Din dynamiske DNS-klient foretager ugyldige anmodninger. Sørg for, at brugeragenten er konfigureret i anmodningen.
abuse Fejl Dynamisk DNS-adgang for hostname er blevet blokeret på grund af forkert tolkning af tidligere svar.
911 Fejl Der opstod en fejl hos os. Vent 5 minutter, og prøv igen.
konflikt A
konflikt AAAA
Fejl En tilpasset A- eller AAAA-ressourceregistrering er i konflikt med opdateringen. Slet den angivne ressourceregistrering på siden med DNS-indstillinger, og prøv at gennemføre opdateringen igen.
Var disse oplysninger nyttige?
Hvordan kan vi forbedre siden?
Søgning
Ryd søgning
Luk søgning
Google-apps
Hovedmenu
Søg i Hjælp
true
true
true
true
93020
false
false