網域名稱系統 (DNS) 會將使用者可理解的網域名稱 (例如 google.com) 轉譯為機器可解讀的網站專屬 IP 位址,例如 172.217.3.206。設定 DNS 安全性擴充功能 (DNSSEC) 可以保護你的網域,避免受到快取毒害攻擊和 DNS 假冒等威脅。
開啟網域的 DNSSEC
重要事項:
- 部分頂層網域 (TLD) 不接受委派簽署者 (DS) 記錄,而會接受 DNS 公開金鑰 (DNSKEY) 記錄。
- 如果你原先是透過 Google Domains 購買網域名稱,系統可能已設定 DNSSEC。
- 如果網域包含 ALIAS 記錄,則無法啟用 DNSSEC。進一步瞭解 ALIAS 記錄。
如要設定網域 DNSSEC,你必須將特定資源記錄新增至 DNS 或簽署區域,並且為網域發布這些記錄。採用 Google Domains 的自動 DNSSEC 設定之後,我們會替你處理這兩個步驟。DNSSEC 正式啟用前,相關異動最多可能需要 24 小時才會在網際網路中更新。
- 登入 Google Domains。
- 選取你的網域。
- 依序選取畫面左上方的「選單」圖示 「DNS」。
- 選取「預設名稱伺服器」或「自訂名稱伺服器」。
- 捲動到「DNSSEC」資訊卡或方塊。
- 預設名稱伺服器:按一下「啟用」。如果 DNSSEC 已啟用,你會看見「DNSSEC 已啟用」的字樣。
- 自訂名稱伺服器:按一下「管理 DS 記錄」,並輸入 DNS 供應商提供的資訊。
- 針對自訂名稱伺服器 DNSSEC 或 DNSKEY,請輸入第三方 DNS 供應商提供的值。
- 如要同時新增多項記錄,請按一下「建立新的記錄」。
- 按一下「儲存」。
提示:
- 如果選擇不等待系統發布 DNSKEY 記錄,請在「DNSSEC」下方展開 DNSSEC 資訊卡,按一下「立即發布記錄」。
- 啟用 DNSSEC 後,Google Domains 會在 2 個小時內,自動簽署 DNS 區域並發布委派簽署者 (DS) 記錄。
如果你使用的是自訂名稱伺服器,則必須透過第三方 DNS 供應商為你的網域簽署 DNS 區域。針對各個 DNSKEY,請透過 DNS 供應商取得下列值:
- 金鑰標記:指涉現有 DNSKEY 記錄的數值。
- 演算法:在 DNSKEY 記錄中建立安全金鑰的加密演算法,通常會與 RSA/SHA1 等雜湊函式搭配運作。
- 摘要類型:建立 DNSKEY 記錄摘要的演算法,也稱為「摘要演算法」、「摘要雜湊」或「摘要雜湊函式」。
- 摘要:DNSKEY 記錄的雜湊值,可在不揭露金鑰值的情況下識別 DNSKEY 記錄。摘要長度視類型而定,可能是下列其中一項:
- SHA1:40 碼的十六進位數值
- SHA256:64 碼的十六進位數值
- SHA384:96 碼的十六進位數值
如果你使用的是自訂名稱伺服器,請先與第三方 DNS 供應商聯絡,才能登入網域的 DNS 區域。針對各個 DNSKEY,請透過 DNS 供應商取得下列值:
- 旗標是一種資訊,可讓 DNS 和解析器瞭解應如何解讀 DNSKEY 記錄。根據預設,這個值會設為 256 或 257。
- 通訊協定會指出目前使用的 DNSSEC 版本,這個值一律會設為 3。
- 演算法會呈現公開或私密金鑰組使用的加密編譯演算法類型。
- 公開金鑰是 DNS 解析器在檢查 DNS 記錄是否遭到竄改時使用的金鑰。
停用網域的 DNSSEC
- 登入 Google Domains。
- 選取你的網域。
- 依序選取「選單」圖示 「DNS」。
- 捲動到「DNSSEC」資訊卡或方塊。
- 預設名稱伺服器:選取「停用」。
- 自訂名稱伺服器:請按一下個別記錄旁邊的「刪除」。
- 選取「儲存」。
提示:
- 如果是自訂名稱伺服器,你也可以與 DNS 供應商合作,從區域中移除 DNSSEC 的相關資源記錄。
- 停用 DNSSEC 之後,Google Domains 會立即取消發布貴公司網域的 DS 記錄。相關異動在網際網路中更新之後,你的網域就不會再受到 DNSSEC 保護。這項程序最多可能需要 48 小時才能完成。Google Domains 可能會取消簽署你的 DNS 區域,以便完成 DNSSEC 停用作業。
使用動態 DNS
重要注意事項:動態 DNS 支援 IPv4 和 IPv6 位址,但請勿同時使用兩者。
動態 DNS 可讓你將網域或子網域導向位於閘道後方的資源,不過該資源必須具備動態指派的 IP 位址。如要使用動態 DNS,你必須使用 Google Domains 的預設名稱伺服器。
如果透過 Google Domains 設定動態 DNS,你可以執行以下操作:
- 建立網域或子網域的 A 或 AAAA 記錄,以供 Google 名稱伺服器辨識動態 IP。
- 產生使用者名稱和密碼,讓你的主機或伺服器將新的 IP 位址傳送給 Google 名稱伺服器。
完成動態 DNS 的設定程序之後,你必須在主機、伺服器或閘道中設定用戶端程式來執行下列作業:
- 偵測 IP 位址異動情況
- 使用產生的使用者名稱和密碼
- 將新的位址傳送給 Google 名稱伺服器
設定動態 DNS
- 透過電腦登入 Google Domains。
- 選取你的網域。
- 依序按一下「選單」圖示 「DNS」。
- 選取「預設 Google Domains 名稱伺服器 (使用中)」.
- 提示:如果「自訂名稱伺服器 (使用中)」顯示為已選取,代表你已有自訂名稱伺服器,因此無法使用 Google Domains 的動態 DNS 服務。
- 按一下「顯示進階設定」。
- 依序按一下「管理動態 DNS」「建立新的記錄」。
- 輸入子網域或根網域的名稱來指派動態 IP。
- 按一下「儲存」。
以下是管理動態 DNS 的其他選項:
- 如要查看記錄值,請按一下所需記錄旁的三角形圖示。
- 如要查看為記錄建立的使用者名稱和密碼,請按一下「查看憑證」。
- 如要設定閘道或用戶端軟體來連結 Google 的名稱伺服器,請使用為記錄建立的使用者名稱和密碼。
- 如要刪除記錄:
- 前往「資源記錄」。
- 按一下「動態 DNS」旁邊的三角形圖示。
- 選取「刪除」。
在閘道、主機或伺服器中設定用戶端程式
目前有數種常用的動態 DNS 用戶端,例如 DDclient 和 INADYN。多數路由器都有內建的軟體,可以偵測 IP 變更並將結果傳送至名稱伺服器。
請提供下列資訊,設定動態 DNS 用戶端:
- 供應商或 DNS 或服務:你的 DNS 供應商名稱
- 使用者名稱或憑證:動態 DNS 記錄中產生的使用者名稱
- 密碼或憑證:動態 DNS 記錄中產生的密碼
建立記錄並設定用戶端軟體之後,請測試記錄。在瀏覽器或適當的用戶端中輸入子網域和網域名稱,確認是否連結至正確的資源。
提示:Google Domains 使用 dyndns2 通訊協定。
範例
DDclient 現可支援 Google Domains。
支援 Google Domains 的 DDclient |
ddclient.conf 項目:
|
一般用戶端設定範例:
不支援 Google Domains 的 DDclient |
INADYN |
ddclient.conf 項目範例:
|
將以下項目新增至 inadyn.conf
|
使用 API 更新動態 DNS 記錄
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
設定使用者代理程式
重要注意事項:你必須一併在要求中設定使用者代理程式。
使用上述網址 (domains.google.com/nic/update
) 直接進行測試時,網路瀏覽器通常會為你新增使用者代理程式。傳送至 Google 伺服器的最終 HTTP 查詢應該會如下所示:
HTTP 查詢範例:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
要求參數:
參數 | 必填或選填 | 說明 |
username:password |
必要 | 產生的使用者名稱和密碼,與要更新的主機相關聯。 |
hostname |
必要 | 要更新的主機名稱。 |
myip |
|
要用來設定主機的 IP 位址。如未提供,我們會使用傳送要求的代理程式 IP。
重要注意事項:如果代理程式使用的是 IPv6 位址,則須提供 |
offline |
非必要 | 將目前的主機設為離線狀態。對離線的主機執行更新要求之後,該部主機就不再是離線狀態。 有效值為:
|
要求處理完畢之後,系統會傳回以下其中一項回應。
重要注意事項:請務必正確解讀回應,否則用戶端可能會遭到系統封鎖。
回應 | 狀態 | 說明 |
good {使用者的 IP 位址} |
成功 | 更新成功。建議你在 IP 位址變更前都不要再次嘗試更新。 |
nochg {使用者的 IP 位址} |
成功 | 提供的 IP 位址已設定在這部主機上。建議你在 IP 位址變更前都不要再次嘗試更新。 |
nohost |
錯誤 | 主機名稱不存在或未啟用動態 DNS。 |
badauth |
錯誤 | 所選主機的使用者名稱/密碼組合無效。 |
notfqdn |
錯誤 | 提供的主機名稱並非有效的完整網域名稱。 |
badagent |
錯誤 | 動態 DNS 用戶端傳送的要求不正確,請確認要求中設有使用者代理程式。 |
abuse |
錯誤 | 由於無法正確解讀先前的回應,導致主機名稱的動態 DNS 存取權遭到封鎖。 |
911 |
錯誤 | 我們的系統發生錯誤,請於 5 分鐘後再試一次。 |
conflict A |
錯誤 | 自訂的 A 或 AAAA 資源記錄與更新內容發生衝突,請刪除 DNS 設定頁面中指出的資源記錄,然後重試更新作業。 |