Bagikan melalui

Mengaktifkan DNS melalui HTTPS di Server DNS (pratinjau)

Penting

DNS melalui HTTPS (DoH) untuk SERVER DNS di Windows Server saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum dirilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.

Artikel ini menjelaskan cara mengaktifkan DNS melalui HTTPS (DoH) di layanan Server DNS yang berjalan di Windows Server.

Lalu lintas DNS tradisional tidak terenkripsi, yang mengekspos kueri DNS untuk menguping, mencegat, dan memanipulasi oleh penyerang di jaringan Anda. Jika Anda perlu melindungi komunikasi DNS antara klien dan server DNS Anda, mengaktifkan DoH mengenkripsi lalu lintas tersebut menggunakan HTTPS, mencegah pengamatan atau perubahan yang tidak sah.

Untuk informasi selengkapnya tentang cara kerja DoH, lihat Enkripsi DNS menggunakan DNS melalui HTTPS.

Prasyarat

Sebelum memulai, pastikan Anda memiliki:

  • Windows Server 2025 dengan Pembaruan Keamanan 2026-02 (KB5075899) atau yang lebih baru diinstal

  • Akses ke otoritas sertifikasi (CA):

    • Microsoft Enterprise Certificate Authority dengan templat sertifikat yang sudah diterbitkan

    Atau

    • Penyedia sertifikat pihak ketiga seperti DigiCert, Let's Encrypt, atau Verisign

  • Aturan firewall dikonfigurasi untuk mengizinkan koneksi masuk pada port TCP 443 untuk DoH

  • Akses administratif atau setara ke Windows Server yang menghosting layanan SERVER DNS

  • Untuk mengaktifkan DNS melalui HTTPS pada layanan Server DNS, minta akses dengan menggunakan DoH di Windows DNS Server: Pendaftaran Pratinjau Publik. Setelah diminta, ikuti instruksi yang Anda terima sebelum melanjutkan.

Sertifikat DoH harus memenuhi persyaratan berikut:

  • Ekstensi Penggunaan Kunci yang Ditingkatkan: Harus menyertakan pengidentifikasi objek Autentikasi Server (1.3.6.1.5.5.7.3.1)

  • Nama Subjek atau Nama Alternatif Subjek: Sertifikat yang ditandatangani dengan Nama Alternatif Subjek (SAN) yang spesifikasinya sesuai dengan nama domain lengkap atau alamat IP yang cocok dengan templat URI DoH yang telah Anda konfigurasikan.

  • Kunci privat: Harus ada di penyimpanan Komputer Lokal, yang terkait dengan sertifikat dengan benar, dan tidak boleh mengaktifkan perlindungan kunci privat yang kuat

  • Rantai kepercayaan: Harus dikeluarkan oleh CA yang dipercaya oleh server DNS dan klien DNS

Untuk penyiapan sertifikat yang lebih kompleks, lihat Sertifikat dan Kunci Umum dan Bekerja dengan Sertifikat.

Mengimpor sertifikat

Jika Anda sudah memiliki sertifikat di server, buka Mengikat sertifikat. Jika tidak, impor sertifikat Anda ke server.

  1. Tempatkan file sertifikat .pfx (berisi sertifikat dan kunci privat) di server yang menghosting Server DNS.

  2. Buka PowerShell sebagai administrator dan jalankan perintah berikut untuk mengimpor sertifikat, pastikan untuk mengganti <pfxpath> dengan jalur ke file Anda .pfx dan <pfxpassword> dengan kata sandi untuk file:.pfx

    Import-PfxCertificate `
    -FilePath "<pfxpath>" `
    -CertStoreLocation "Cert:\LocalMachine\My" `
    -Password (Read-Host -AsSecureString "<pfxpassword>")

  3. Saat diminta, masukkan kata sandi untuk sertifikat Anda.

  4. Untuk memverifikasi bahwa sertifikat berhasil diimpor, jalankan perintah berikut, ganti <subject-name> dengan subjek sertifikat Anda:

    Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -match "<subject-name>" }

Mengikat sertifikat

Setelah mengimpor sertifikat, ikat ke port server sehingga Server DNS dapat menggunakannya untuk koneksi HTTPS.

  1. Buat GUID baru dan simpan dalam variabel dengan menjalankan perintah berikut:

    $guid = New-Guid

  2. Ambil sertifikat Anda dan simpan dalam variabel dengan menjalankan perintah berikut. Ganti <subject-name> dengan subjek sertifikat Anda:

    $cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -match "<subject-name>" }

  3. Ikat sertifikat ke port server dengan menjalankan perintah berikut:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=$($cert.Thumbprint) appid="{$guid}"

Petunjuk / Saran

Agar layanan Server DNS merespons lalu lintas DoH pada alamat IP tertentu alih-alih semua alamat, ganti 0.0.0.0 dengan alamat IP yang Anda inginkan. Alamat IP harus sama dengan atau sesuai dengan host yang terkandung dalam SAN sertifikat Anda. Anda juga dapat mengganti 443 dengan nomor port yang berbeda.

Memverifikasi pengikatan sertifikat

Konfirmasikan bahwa sertifikat Anda terikat dengan benar ke alamat IP dan port yang benar.

  1. Jalankan perintah berikut untuk menampilkan pengikatan sertifikat SSL:

    netsh http show sslcert

  2. Verifikasi output menunjukkan alamat IP dan port Anda, dan bahwa hash sertifikat cocok dengan thumbprint Anda.

Konfigurasikan aturan firewall

DoH menggunakan port TCP yang berbeda dari DNS yang tidak terenkripsi, jadi Anda perlu mengonfigurasi firewall Anda untuk mengizinkan lalu lintas masuk pada port yang Anda tentukan saat mengikat sertifikat. Secara default, DoH menggunakan port TCP 443 kecuali Anda menentukan port yang berbeda dalam templat URI dan langkah-langkah pengikatan sertifikat.

Konfigurasikan Windows Firewall untuk mengizinkan koneksi masuk pada port DoH yang dikonfigurasi menggunakan langkah-langkah berikut:

  1. Untuk membuat aturan firewall yang memungkinkan lalu lintas DoH masuk, jalankan perintah berikut:

    New-NetFirewallRule -DisplayName "DNS over HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

  2. Verifikasi bahwa aturan firewall dibuat dengan menjalankan perintah berikut:

    Get-NetFirewallRule -DisplayName "DNS over HTTPS"

Nota

Jika Anda mengonfigurasi DoH untuk menggunakan port yang berbeda, ganti 443 dengan nomor port kustom Anda. Jika Anda menggunakan firewall perangkat keras atau kelompok keamanan jaringan, pastikan juga mengizinkan lalu lintas TCP masuk pada port yang sama.

Mengaktifkan DoH

Setelah Anda mengikat sertifikat dan mengonfigurasi aturan firewall, aktifkan DoH di Server DNS Anda.

  1. Aktifkan DoH dan atur templat URI menggunakan perintah Set-DnsServerEncryptionProtocol . Ganti dns.contoso.com dengan nama host (atau alamat IP) yang terkandung dalam SAN pada sertifikat Anda:

    Set-DnsServerEncryptionProtocol -EnableDoh $true -UriTemplate "https://dns.contoso.com:443/dns-query"

    Nota

    Pastikan nomor port dalam templat URI cocok dengan nomor port yang Anda gunakan saat mengikat sertifikat.

  2. Mulai ulang layanan DNS untuk menerapkan perubahan:

    Restart-Service -Name DNS

Memverifikasi konfigurasi DoH

Uji bahwa DoH berfungsi dengan benar dengan memverifikasi konfigurasi dan pengujian dari klien.

  1. Verifikasi konfigurasi DoH di server menggunakan perintah Get-DnsServerEncryptionProtocol :

    Get-DnsServerEncryptionProtocol

  2. Buka Penampil Peristiwa di server dan navigasikan ke Server DNS Log > Aplikasi dan Layanan.

  3. Periksa ID peristiwa 822, yang menunjukkan bahwa layanan DoH berhasil dimulai.

Menguji DNS over HTTPS (DoH) dari perangkat klien

Untuk mengonfirmasi bahwa DoH berfungsi dengan benar, uji resolusi DNS dari klien berkemampu DoH.

  1. Konfigurasikan klien DoH untuk menggunakan enkripsi untuk server DNS Anda dengan templat URI yang sama dengan yang Anda konfigurasikan. Untuk langkah-langkah konfigurasi klien, lihat Mengamankan Klien DNS melalui HTTPS (DoH).

  2. Dari klien DoH yang dikonfigurasi, uji resolusi DNS menggunakan perintah Resolve-DnsName . Ganti contoso.com dengan domain yang ingin Anda atasi:

    Resolve-DnsName -Name contoso.com -Type A

  3. Kueri DNS berhasil diselesaikan.

Untuk memverifikasi aktivitas DoH lebih lanjut, ikuti artikel langkah berikutnya untuk memantau DoH di Server DNS Anda.

Langkah selanjutnya

Memantau DNS melalui HTTPS di Server DNS

  • Last updated on