Homework Week-11 加密、CA及DNS

1、详细描述一次加密通讯的过程,结合图示最佳。

加密通信过程.png

—————————————————————————————————————

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

一、在确定配置为CA的服务器上生成一个自签证书,并为CA提供所需要的目录及文件,步骤:

    (1)生成CA私钥

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

    (2)生成自签证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655  
#从私钥中提取公钥并输出证书

    (3)为CA提供所需的目录及文件

mkdir -pv /etc/pki/CA/{certs,crl,newcerts}    #创建目录
touch /etc/pki/CA/{serial.index.txt}        #创建文件
echo 01>/etc/pki/CA/serial                #第一个证书序列号

二、为客户端发来的证书请求进行办证书,签署命令:

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

—————————————————————————————————————

3、描述DNS查询过程以及DNS服务器类别。

一、DNS查询过程

    (1)客户端查询本机hosts

    (2)查询DNS本地缓存

    (3)查询DNS服务器

二、DNS服务器类型

    复制解析至少一个域:主名称服务器;辅助名称服务器

    不负责域解析:缓存名称服务器

—————————————————————————————————————

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

  (1)、能够对一些主机名进行正向解析和逆向解析;

  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

一、配置正向解析域区域

    1、修改/etc/named.conf配置文件监听端口为本机地址

    2、定义区域(可以在主配置文件中定义也可以在辅助配置文件中定义)

vim /etc/named.rfc1912.zones    #在辅助配置文件中定义
    zone "elephant.com" IN{
        type master;
        file "elephant.com.zone";
    };

    3、建立区域数据文件,在/var/named目录下建立区域数据文件,文件为:/var/named/elephant.com.zone

vim /var/named/elephant.com.zone
    $TTL 3600    ;顶格
    $ORIGIN elephant.com.
    @ IN SOA ns1.elephant.com. dnsadmin.elephant.com.(
        2017010801
        1H
        10M
        3D
        1D )
          IN NS ns1    ;NS当前区域的区域名称
          IN MX 10 mx1    ;MX邮件交换器
          IN MX 20 mx2
      ns1 IN A 192.168.1.103
      mx1 IN A 192.168.1.103
      mx2 IN A 192.168.1.104
      www IN A 192.168.1.103
      web IN CNAME www
      bbs IN A 192.168.1.103
      bbs IN A 192.168.1.104

    4、权限及属组修改

chgrp named /var/named/elephant.com.zone
chmod o= /var/named/elephant.com.zone

    5、检查语法错误

named-checkconf    #检查主配置文件是否有语法错误
named-checkzone elephant.com /var/named/elephant.com.zone    #检查区域文件

    6、服务器重载配置文件和区域数据文件

rndc reload    #完成区域内容重载

    7、测试DNS配置

dig -t A www.elephant.com @ 192.168.1.103
dig -t A web.elephant.com 
host -t A bbs.elephant.com
dig -t NS elephant.com
dig -t MX elephant.com
host -t MX elephant.com

二、配置逆向解析域区域

    1、定义区域(可以在主配置文件中定义也可以在辅助配置文件中定义)

vim /etc/named.rfc1912.zones    #在辅助配置文件中定义
    zone "1.168.192.in-addr.arpa" IN{
        type master;
        file "192.168.1.zone";
    };

    2、建立区域数据文件,在/var/named目录下建立区域数据文件,文件为:/var/named/192.168.1.zone

vim /var/named/192.168.1.zone
    $TTL 3600
    $ORIGIN 1.168.192.in-addr.arpa.
    @ IN SOA ns1.elephant.com. dnsadmin.elephant.com.(
        2017010801
        1H
        10M
        3D
        1D)
      IN NS ns1.elephant.com.   
      103 IN PTR ns1.elephant.com.
      103 IN PTR mx1.elephant.com.
      104 IN PTR mx2.elephant.com.
      103 IN PTR www.elephant.com.
      103 IN PTR bbs.elephant.com.
      104 IN PTR bbs.elephant.com.

    3、权限及属组修改

chgrp named /var/named/192.168.1.zone
chmod o= /var/named/192.168.1.zone

    4、语法错误检查

named-checkzone 1.168.192.in-addr.arpa /var/named/192.168.1.zone
named-checkconf

    

     5、服务器重载配置文件和区域数据文件

rndc reload    #完成区域内容重载

    6、测试DNS配置

dig -x 192.168.1.103

三、cdn.elephant.com子域授权

    1、添加正向解析区域

# vim /var/named/elephant.com.zone
cdn.elephant.com. IN NS ns1.cdn.elephant.com.
cdn.elephant.com. IN NS ns2.cdn.elephant.com.
ns1.cdn.elephant.com. IN A 192.168.1.103
ns2.cdn.elephant.com. IN A 192.168.1.104

    2、定义转发:区域转发或全局转发,提高DNS系统可用性    

原创文章,作者:N22_Elephant,如若转载,请注明出处:http://www.178linux.com/54265

(0)
N22_ElephantN22_Elephant
上一篇 2016-11-01
下一篇 2016-11-01

相关推荐

  • 海量数据处理算法—Bit-Map

    1. Bit Map算法简介         来自于《编程珠玑》。所谓的Bit-map就是用一个bit位来标记某个元素对应的Value, 而Key即是该元素。由于采用了Bit为单位来存储数据,因此在存储空间方面,可以大大节省。 2、 Bit Map的基本思想       &nbs…

    Linux干货 2015-11-10
  • haproxy实现rabbitmq负载均衡

    RabbitMQ简介: 1、是实现AMQP(高级消息队列协议)的消息中间件的一种。2、主要是为了实现系统之间的双向解耦而实现的。当生产者大量产生数据时,消费者无法快速消费,那么需要一个中间层。保存这个数据。 一般提到 RabbitMQ 和消息,都会用到以下一些专有名词:(1)生产(Producing)意思就是发送。发送消息的程序就是一个生产者(produce…

    Linux干货 2017-06-29
  • 用shell脚本实现每天定时收集全网日志到一台服务器

    需求 现在公司有这样一个需求,需要收集每天全网运行业务的设备上的某个特定目录底下的日志到一台服务器(这台服务器我们简称logserver),这并在这台logserver上生成以日期为名字的目录 解决思路: 在logserver的crontab里设置两个脚本,在当日晚上23:30执行脚本1收集当日即将被删除的全网脚本;在并在早上8:30执行脚本2,收集昨日全网…

    Linux干货 2015-07-27
  • centos系统中常用的命令

    日志文件说明:  /var/log/message      系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一   /var/log/secure      &nb…

    Linux干货 2016-06-28
  • 文本查看工具、grep及正则表达式

    cat [OPTION]… [FILE]…顺序查看文件-E: 显示行结束符$-n: 对显示出的每一行进行编号(包括空白行)-A:显示所有控制符-T:显示制表符^I(即tab键)-b:只对非空白行进行编号-s:压缩连续的空行成一行 tac 逆序查看文件(第一行变为最后一行) rev 行内逆序查看文件(第一个字符变为最后一个字符) mor…

    Linux干货 2016-08-11
  • 自制linux和内核编译

    自制linux和内核编译 1、分区并创建文件系统 fdisk /dev/sdb分两个必要的分区/dev/sdb1对应/boot /dev/sdb2对应根/mkfs.ext4 /dev/sdb1mkfs.ext4 /dev/sdb2 2、挂载boot mkdir/mnt/bootmount /dev/sdb1 /mnt/boot 3、安装grub grub-i…

    Linux干货 2016-09-23