1、详细描述一次加密通讯的过程,结合图示最佳。
A和B进行通信
A发送数据:A使用单向加密算法获得数据的特征码,把特征码附加到数据的尾部,A使用对称加密算法对数据进行加密。A使用B发过来的公钥对A的对称加
密算法加密密钥进行加密,附加到数据后面。
B接收方:B使用自己的私钥对数据进行解密。得到A的对称密钥,对对称密钥解密获得数据的特征码,B使用单向加密算法获得数据的特征码,对A和B的特
征码进行比较。
建立加密解密过程
1.tcp连接:三次握手
2.ssl连接:服务器端发证书给客户端,客户端验证服务器的证书ca解密,检查证书的主题名称是否一致,检测证书的完整性(根据特征码),检查是否在
ca吊销列表中,可信
3.双放进行通信,协商找一个都支持的算法,确定ssl会话版本
4.客户端生成一个对称加密密钥,用对方的公钥加密,进行交换(服务器在特殊情况下验证客户端的证书如支付包转账,一般情况下响应任何客户端的请求)
5.服务器端响应客户端请求,使用一次性密钥加密后发给客户端。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
1.创建需要的文件
[root@node2 ~]# cd /etc/pki/CA/
[root@node2 CA]# touch index.txt
[root@node2 CA]# echo 01 > serial //第一次创建CA时
2.创建自签证书
[root@node2 CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048 ) //生成ca的私有密钥
生成CA的自签证书
[root@node2 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.pem
3.签署CA证书
在客户端下
[root@node3 httpd]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048) //生成客户端的私钥文件
[root@node3 httpd]# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr //生成客户端的证书
[root@node3 httpd]# scp httpd.csr root@192.168.1.118 /tmp
在CA主机中
[root@node2 CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365 //发证
[root@node2 CA]# scp /etc/pki/CA/certs/httpd.crt root@192.168.1.117:/etc/httpd/ssl //复制到客户端
[root@node3 httpd]# openssl x509 -in /etc/httpd/ssl/httpd.crt -noout -text
3、描述DNS查询过程以及DNS服务器类别。
DNS: Domain Name Service,协议(C/S, 53/udp, 53/tcp);应用层协议;
DNS数据库的记录:正解,反解,zone的意义
从主机名到ip的查询流程称为正解
从ip到主机名的查询流程称为反解
不管正解还是反解,每一个域的记录就是一个区域
DNS的查询过程,以www.baidu.com为例:
1.客户端接收到用户的请求时,首先查看自己的dns缓存是否有该请求的记录,如果没有则向.(root)查询。
2.查询到.时,客户端会向.询问是否知道该主机的主机名。.(root)不知道该主机的主机名,但是知道.com在那里于是告诉客户端去那里寻找.com.
3.客户端找到.com,.com告诉客户端.baidu.com的地址。客户端找到.baidu.com,对客户端说这台主机是我管理的,它的ip是....
4.记录缓存并回报用户。
具体的查询流程是这样的
DNS服务器类别
DNS缓存服务器
DNS转发服务器
DNS主服务器
DNS辅服务器
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
1.
[root@node2 /]# vim /etc/named.conf
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
// dnssec-enable yes;
// dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
[root@node2 /]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "192.168.1.zone";
};
"/etc/named.rfc1912.zones" 51L, 1073C
[root@node3 ~]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type slave;
masters { 192.168.1.117; };
file "slaves/magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.1.117; };
file "slavers/192.168.1.zone";
};
[root@node2 /]# vim /var/named/magedu.com.zone
$TTL 68400
$ORIGIN magedu.com.
@ IN SOA ns1.magedu.com. admin.magedu.com. (
2016111401
1H
5M
7D
1D )
IN NS ns1
IN NS ns2
cdn IN NS ns1.cnd.magedu.com
ns1 IN A 192.168.1.117
ns2 IN A 192.168.1.116
ns1.cnd IN A 192.168.1.115
www IN A 192.168.1.117
[root@node2 /]# vim /var/named/192.168.1.zone
$TTL 86400
$ORIGIN 1.168.192.in-addr.arpa.
@ IN SOA ns1.mageu.com. admin.magedu.com. (
2016111401
1H
5M
7D
1D )
IN NS ns1.magedu.com.
IN NS ns2.magedu.com.
117 IN PTR ns1.magedu.com.
116 IN PTR ns2.magedu.com.
117 IN PTR www.magedu.com.
~
[root@node2 /]# chown root.named /var/named/magedu.com.zone
[root@node2 /]# chown root.named /var/named/192.168.1.zone
[root@node2 /]# named-checkconf
[root@node2 /]# service named start
启动 named: [确定]
[root@node2 /]# ss -tnl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 :::111 :::*
LISTEN 0 128 *:111 *:*
LISTEN 0 128 :::39217 :::*
LISTEN 0 128 *:45553 *:*
LISTEN 0 3 192.168.1.117:53 *:*
LISTEN 0 3 127.0.0.1:53 *:*
LISTEN 0 128 :::22 :::*
LISTEN 0 128 *:22 *:*
LISTEN 0 128 ::1:953 :::*
LISTEN 0 128 127.0.0.1:953
[root@node2 named]# dig -t A www.magedu.com @192.168.1.117
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.3 <<>> -t A www.magedu.com @192.168.1.117
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17996
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.magedu.com. IN A
;; ANSWER SECTION:
www.magedu.com. 68400 IN A 192.168.1.117
;; AUTHORITY SECTION:
magedu.com. 68400 IN NS ns1.magedu.com.
magedu.com. 68400 IN NS ns2.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com. 68400 IN A 192.168.1.117
ns2.magedu.com. 68400 IN A 192.168.1.116
;; Query time: 0 msec
;; SERVER: 192.168.1.117#53(192.168.1.117)
;; WHEN: Tue Nov 15 05:38:11 2016
;; MSG SIZE rcvd: 116
[root@node2 named]# dig -x 192.168.1.117 @192.168.1.117
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.3 <<>> -x 192.168.1.117 @192.168.1.117
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25857
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;117.1.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
117.1.168.192.in-addr.arpa. 86400 IN PTR www.magedu.com.
117.1.168.192.in-addr.arpa. 86400 IN PTR ns1.magedu.com.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS ns1.magedu.com.
1.168.192.in-addr.arpa. 86400 IN NS ns2.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com. 68400 IN A 192.168.1.117
ns2.magedu.com. 68400 IN A 192.168.1.116
;; Query time: 1 msec
;; SERVER: 192.168.1.117#53(192.168.1.117)
;; WHEN: Tue Nov 15 05:39:09 2016
;; MSG SIZE rcvd: 154
将A主机配置为主DNS服务器。
将B主机配置为辅DNS服务器。
将C主机配置为DNS转发服务器。
将D主机配置为缓存服务器。
以上
原创文章,作者:N21_619463772,如若转载,请注明出处:http://www.178linux.com/48554
