Homework Week-11 加密、CA及DNS

1、详细描述一次加密通讯的过程，结合图示最佳。

—————————————————————————————————————

2、描述创建私有CA的过程，以及为客户端发来的证书请求进行办法证书。

一、在确定配置为CA的服务器上生成一个自签证书，并为CA提供所需要的目录及文件，步骤：

    (1)生成CA私钥

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

    (2)生成自签证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655  
#从私钥中提取公钥并输出证书

    (3)为CA提供所需的目录及文件

mkdir -pv /etc/pki/CA/{certs,crl,newcerts}    #创建目录
touch /etc/pki/CA/{serial.index.txt}        #创建文件
echo 01>/etc/pki/CA/serial                #第一个证书序列号

二、为客户端发来的证书请求进行办证书，签署命令：

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

—————————————————————————————————————

3、描述DNS查询过程以及DNS服务器类别。

一、DNS查询过程

    (1)客户端查询本机hosts

    (2)查询DNS本地缓存

    (3)查询DNS服务器

二、DNS服务器类型

    复制解析至少一个域：主名称服务器；辅助名称服务器

    不负责域解析：缓存名称服务器

—————————————————————————————————————

4、搭建一套DNS服务器，负责解析magedu.com域名（自行设定主机名及IP）

  (1)、能够对一些主机名进行正向解析和逆向解析；

  (2)、对子域cdn.magedu.com进行子域授权，子域负责解析对应子域中的主机名；

  (3)、为了保证DNS服务系统的高可用性，请设计一套方案，并写出详细的实施过程

一、配置正向解析域区域

    1、修改/etc/named.conf配置文件监听端口为本机地址

    2、定义区域（可以在主配置文件中定义也可以在辅助配置文件中定义）

vim /etc/named.rfc1912.zones    #在辅助配置文件中定义
    zone "elephant.com" IN{
        type master;
        file "elephant.com.zone";
    };

    3、建立区域数据文件，在/var/named目录下建立区域数据文件，文件为：/var/named/elephant.com.zone

vim /var/named/elephant.com.zone
    $TTL 3600    ;顶格
    $ORIGIN elephant.com.
    @ IN SOA ns1.elephant.com. dnsadmin.elephant.com.(
        2017010801
        1H
        10M
        3D
        1D )
          IN NS ns1    ;NS当前区域的区域名称
          IN MX 10 mx1    ;MX邮件交换器
          IN MX 20 mx2
      ns1 IN A 192.168.1.103
      mx1 IN A 192.168.1.103
      mx2 IN A 192.168.1.104
      www IN A 192.168.1.103
      web IN CNAME www
      bbs IN A 192.168.1.103
      bbs IN A 192.168.1.104

    4、权限及属组修改

chgrp named /var/named/elephant.com.zone
chmod o= /var/named/elephant.com.zone

    5、检查语法错误

named-checkconf    #检查主配置文件是否有语法错误
named-checkzone elephant.com /var/named/elephant.com.zone    #检查区域文件

    6、服务器重载配置文件和区域数据文件

rndc reload    #完成区域内容重载

    7、测试DNS配置

dig -t A www.elephant.com @ 192.168.1.103
dig -t A web.elephant.com 
host -t A bbs.elephant.com
dig -t NS elephant.com
dig -t MX elephant.com
host -t MX elephant.com

二、配置逆向解析域区域

    1、定义区域（可以在主配置文件中定义也可以在辅助配置文件中定义）

vim /etc/named.rfc1912.zones    #在辅助配置文件中定义
    zone "1.168.192.in-addr.arpa" IN{
        type master;
        file "192.168.1.zone";
    };

    2、建立区域数据文件，在/var/named目录下建立区域数据文件，文件为：/var/named/192.168.1.zone

vim /var/named/192.168.1.zone
    $TTL 3600
    $ORIGIN 1.168.192.in-addr.arpa.
    @ IN SOA ns1.elephant.com. dnsadmin.elephant.com.(
        2017010801
        1H
        10M
        3D
        1D)
      IN NS ns1.elephant.com.   
      103 IN PTR ns1.elephant.com.
      103 IN PTR mx1.elephant.com.
      104 IN PTR mx2.elephant.com.
      103 IN PTR www.elephant.com.
      103 IN PTR bbs.elephant.com.
      104 IN PTR bbs.elephant.com.

    3、权限及属组修改

chgrp named /var/named/192.168.1.zone
chmod o= /var/named/192.168.1.zone

    4、语法错误检查

named-checkzone 1.168.192.in-addr.arpa /var/named/192.168.1.zone
named-checkconf

     5、服务器重载配置文件和区域数据文件

rndc reload    #完成区域内容重载

    6、测试DNS配置

dig -x 192.168.1.103

三、cdn.elephant.com子域授权

    1、添加正向解析区域

# vim /var/named/elephant.com.zone
cdn.elephant.com. IN NS ns1.cdn.elephant.com.
cdn.elephant.com. IN NS ns2.cdn.elephant.com.
ns1.cdn.elephant.com. IN A 192.168.1.103
ns2.cdn.elephant.com. IN A 192.168.1.104

    2、定义转发：区域转发或全局转发，提高DNS系统可用性