1、详细描述一次加密通讯的过程,结合图示最佳。
SSL协议基础: SSL协议位于TCP/IP协议与各种应用层协议之间,本身又分为两层: 1)SSL记录协议:建立在可靠传输层协议(TCP)之上,为上层协议提供数据封装、压缩、加密等基本功能。 2)SSL握手协议:在SSL记录协议之上,用于实际数据传输前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL协议通信过程: 1)浏览器发送一个连接请求给服务器;服务器将自己的证书(包含服务器公钥S_PuKey)、对称加密算法种类及其他相 关信息返回客户端。 2)客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是,执行第4步;否则,给客户一个警告 信息:询问是否继续访问 3)客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否一致;如果 一致,则浏览器完成对服务器的身份认证. 4)服务器要求客户端发送客户端证书(包含客户端公钥C_PuKey)、支持的对称加密方案及其他相关信息。收到 后,服务器进行相同的身份认证,若没有通过验证,则拒绝连接; 5)服务器根据客户端浏览器发送到密码种类,选择一种加密程度最高的方案,用客户端公钥C_PubKey加密后通知 到浏览器; 6)客户端通过私钥C_prKey解密后,得知服务器选择的加密方案,并选择一个通话密钥Key,接着用服务器公钥 S_PuKey加密后发送服务器; 7)服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key。 8)接下来的数据传输都使用该对称密钥Key进行加密。 上面所述的是双向认证SSL协议的具体通讯过程,服务器和用户双方必须都有证书。由此可见,SSL协议是通过非对称 密钥机制保证双方身份认证,并完成建立连接,在实际数据通信时通过对称密钥机制保障数据安全性。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
配置文件:/etc/pki/tls/openssl.cnf 1)创建所需要的文件 [root@Server ~]# cd /etc/pki/CA [root@Server CA]# touch index.txt [root@Server CA]# echo 01 > serial 2)CA自签证书 [root@Server CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048) [root@Server CA]# openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem -new:生成新证书签署请求; -x509:专用于CA生成自签证书; -key:生成请求时用到的私钥文件; -days n:证书的有效期限; -out /PATH/TO/SOMECERTFILE:证书的保存路径 3)发证 (a)客户端生成证书请求 [root@Client ~]# mkdir /etc/httpd/ssl [root@Client ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048) [root@Client ~]# cd /etc/httpd/ssl/ [root@Client ssl]# openssl req -new -key httpd.key -days 365 -out httpd.csr (b)把请求文件传输给CA [root@Client ssl]# scp httpd.csr 192.168.1.61:/tmp/ (c)CA签署证书,并将证书发还给请求者 [root@Server CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365 [root@Server CA]# scp /etc/pki/CA/certs/httpd.crt 192.168.1.62:/etc/httpd/ssl/
3、描述DNS查询过程以及DNS服务器类别。
DNS查询过程: 1)浏览器缓存 当用户通过浏览器访问某域名时,浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址(若曾经访问过该域名且 没有清空缓存便存在) 2)系统缓存 当浏览器缓存中无域名对应IP则会自动检查用户计算机系统中hosts(linux:/etc/hosts, Windows: C:\Windows\System32\drivers\etc\hosts)文件中是否有该域名对应的IP 3)路由器缓存 当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查,以下三步均为客户端的DNS缓存 4)ISP(互联网服务提供商)DNS缓存 当在客户端查找不到域名对应IP地址,则将进入ISP DNS缓存中进行查询。如果用的是电信网络,则会进入电信的 DNS缓存服务器中进行查找。 5)根域名服务器 如果以上均为完成,则进入根服务器进行查询。全球13台根域名服务器,1个主根服务器,12个辅根域名服务器。根域名 收到请求后会查询区域文件记录,若无则将其管辖范围内的顶级域名(.com)服务器IP地址告诉本地DNS服务器; 6)顶级域名服务器 顶级域名服务器收到请求后查看区域文件记录,或无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器; 7)二级域名服务器 主域名服务器接受到请求后查询自己的缓存,如果没有则进入下一级域名服务器进行查询,重复该步骤直到找到正确刻录; 8)保存结果至缓存 本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时将该结果反馈给客户端,客户端通过这个IP地址与 web服务器建立链接。 DNS服务器类别: 1)主DNS服务器:维护所负责解析的域内解析库服务器;解析库由本地管理员管理维护。 2)辅助DNS服务器:从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库。 3)缓存DNS服务器: 可运行域名服务器软件但没有域名数据库。它从某个远程服务器取得每次域名服务器的查询回答,一旦获取一个答案, 就将它放在高速缓存中,以后查询相同信息时就用它予以回答。缓存域名服务器不是权威性服务器,因为提供的 所有信息都是间接信息。 4)转发器: 负责所有非本地域名的本地查询。转发域名服务器接到查询请求时,在其缓存中查找,如果找不到就把请求依次转发到 指定的域名服务器,直到查询到结果为止,否则返回无法查找到结果
。
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
[root@Master ~]# yum -y install bind 常用的配置文件有: /etc/named.conf#主配置文件 /etc/named.rfc1912.zones#区域配置文件 /etc/rc.d/init.d/named#启动脚本 /var/named#存放区域数据文件 [root@Master ~]# vim /etc/named.conf options { listen-on port 53 { any; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion yes; // dnssec-enable yes; // dnssec-validation yes; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.rfc1912.zones"; listen-on port 53 { any; };表示监听本地IP的53端口,允许所用地址访问本地53端口 allow-query { any; };允许所有地址查询 recursion yes;是否递归,如果是no那么这台DNS服务器将不会递归解析,yes或注释掉不写,表是允许,默认是允许的 include "/etc/named.rfc1912.zones";加载区域配置文件 正向和反向区域解析 [root@Master ~]# vim /etc/named.rfc1912.zones 在配置文件的末尾添加正向和反向配置 zone "magedu.com" IN { type master; file "magedu.com.zone"; allow-transfer { 192.168.1.65; }; }; zone "1.168.192.in-addr.arpa" IN { type master; file "1.168.192.zone"; allow-transfer { 192.168.1.65; }; }; allow-transfer { 192.168.1.65; };表示只允许192.168.1.65这个主机同步数据,也就是作它的辅助DNS, 多个IP用“;”隔开; 编辑正向解析的zone文件 [root@Master ~]# vim /var/named/magedu.com.zone $TTL 86400 $ORIGIN magedu.com. @ IN SOA ns1.magedu.com. admin.magedu.com. ( 2016092101 1H 5M 7D 1D ) IN NS ns1 IN NS ns2 IN MX 10 mx1 IN MX 20 mx2 IN A 192.168.1.64 ns1 IN A 192.168.1.64 ns2 IN A 192.168.1.65 mx1 IN A 192.168.1.66 mx2 IN A 192.168.1.67 www IN A 192.168.1.64 www IN A 192.168.1.65 ftp IN CNAME www 反向解析zone文件 [root@Master ~]# vim /var/named/1.168.192.zone $TTL 86400 $ORIGIN 1.168.192.in-addr.arpa. @ IN SOA ns1.magedu.com. admin.magedu.com. ( 2016092101 1H 5M 7D 1D ) IN NS ns1.magedu.com. IN NS ns2.magedu.com. 64 IN PTR ns1.magedu.com. 65 IN PTR ns2.magedu.com. 66 IN PTR mx1.magedu.com. 67 IN PTR mx2.magedu.com. 64 IN PTR www.magedu.com. 65 IN PTR www.magedu.com. [root@Master ~]# service named start 正向解析: [root@Master ~]# dig @192.168.1.64 www.magedu.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.61 www.magedu.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54957 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;www.magedu.com. IN A ;; ANSWER SECTION: www.magedu.com. 86400 IN A 192.168.1.64 www.magedu.com. 86400 IN A 192.168.1.65 ;; AUTHORITY SECTION: magedu.com. 86400 IN NS ns1.magedu.com. magedu.com. 86400 IN NS ns2.magedu.com. ;; ADDITIONAL SECTION: ns1.magedu.com. 86400 IN A 192.168.1.64 ns2.magedu.com. 86400 IN A 192.168.1.65 ;; Query time: 0 msec ;; SERVER: 192.168.1.61#53(192.168.1.64) ;; WHEN: Mon Sep 26 21:15:11 2016 ;; MSG SIZE rcvd: 132 反向解析 [root@Master ~]# dig -x 192.168.1.64 @192.168.1.64 ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -x 192.168.1.64 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23623 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;64.1.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 64.1.168.192.in-addr.arpa. 86400 IN PTR ns1.magedu.com. ;; AUTHORITY SECTION: 1.168.192.in-addr.arpa. 86400 IN NS ns2.magedu.com. 1.168.192.in-addr.arpa. 86400 IN NS ns1.magedu.com. ;; ADDITIONAL SECTION: ns1.magedu.com. 86400 IN A 192.168.1.64 ns2.magedu.com. 86400 IN A 192.168.1.65 ;; Query time: 0 msec ;; SERVER: 192.168.1.64#53(192.168.1.64) ;; WHEN: Wed Sep 21 21:56:14 2016 ;; MSG SIZE rcvd: 135 配置主从同步 [root@Slave ~]# vim /etc/named.rfc1912.zones 在末尾添加 zone "magedu.com" IN { type slave; masters { 192.168.1.64; }; file "slaves/magedu.com.zone"; allow-transfer { none; }; }; zone "1.168.192.in-addr.arpa" IN { type slave; masters { 192.168.1.64; }; file "slaves/1.168.192.zone"; allow-transfer { none; }; }; 批定type类型为slave,并指定主服务器为192.168.1.64 [root@Slave ~]# service named start 服务启动后,会在/var/named/slaves/自动添加magedu.com.zone和1.168.192.zone文件 [root@Slave ~]# ll /var/named/slaves/ 总用量 8 -rw-r--r-- 1 named named 436 9月 26 22:13 1.168.192.zone -rw-r--r-- 1 named named 502 9月 26 22:13 magedu.com.zone 子域授权 新增一台IP为192.168.1.61的服务器为子域 在父域的区域文件中添加NS和A记录 [root@Server ~]# vim /var/named/magedu.com.zone 添加 cdn IN NS ns1.cdn.magedu.com. ns1.cdn IN A 192.168.1.61 [root@cdn ~]# yum -y install bind [root@cdn ~]# scp 192.168.1.64:/etc/named.conf /etc/ [root@cdn ~]# vim /etc/named.rfc1912.zones 在末尾添加 zone "cdn.magedu.com" IN { type master; file "cdn.magedu.com.zone"; }; zone "magedu.com" IN { type forward; forward only; forwarders { 192.168.1.64; }; }; [root@cdn ~]# vim /var/named/cdn.magedu.com.zone $TTL 86400 @ IN SOA ns.cdn.magedu.com. admin.cdn.magedu.com. ( 2016092201 2H 5M 7D 12H ) IN NS ns.cdn.magedu.com. IN MX 10 mx1.cdn.magedu.com. IN A192.168.1.61 ns IN A 192.168.1.61 mx1 IN A 192.168.1.61 www IN A 192.168.1.61 测试 1)子域测试 [root@Cdn ~]# dig @192.168.1.61 www.cdn.magedu.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.65 www.cdn.magedu.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33720 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;www.cdn.magedu.com. IN A ;; ANSWER SECTION: www.cdn.magedu.com. 86400 IN A 192.168.1.61 ;; AUTHORITY SECTION: cdn.magedu.com. 86400 IN NS ns.cdn.magedu.com. ;; ADDITIONAL SECTION: ns.cdn.magedu.com. 86400 IN A 192.168.1.61 ;; Query time: 0 msec ;; SERVER: 192.168.1.65#53(192.168.1.61) ;; WHEN: Mon Sep 26 22:16:44 2016 ;; MSG SIZE rcvd: 85 2)父域测试 [root@Cdn ~]# dig -t www.magedu.com ;; Warning, ignoring invalid type www.magedu.com ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -t www.magedu.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27354 ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 518239 IN NS b.root-servers.net. . 518239 IN NS i.root-servers.net. . 518239 IN NS j.root-servers.net. . 518239 IN NS k.root-servers.net. . 518239 IN NS l.root-servers.net. . 518239 IN NS e.root-servers.net. . 518239 IN NS h.root-servers.net. . 518239 IN NS f.root-servers.net. . 518239 IN NS c.root-servers.net. . 518239 IN NS m.root-servers.net. . 518239 IN NS d.root-servers.net. . 518239 IN NS a.root-servers.net. . 518239 IN NS g.root-servers.net. ;; Query time: 0 msec ;; SERVER: 192.168.1.61 #53(192.168.1.65) ;; WHEN: Mon Sep 26 22:18:26 2016 ;; MSG SIZE rcvd: 228
原创文章,作者:N21-天天,如若转载,请注明出处:http://www.178linux.com/49545
评论列表(1条)
总结性很好,但是能全部做完就更好了