1、详细描述一次加密通讯的过程,结合图示最佳。
Bob先利用单向加密算法提取当前数据的指纹(特征码),再用自己的私钥加密数据指纹并附加于数据尾部,
然后利用对称加密将整个文件加密,之后用Alice的公钥加密对称加密密钥附加于尾部。
Alice收到数据后,先用自己的私钥解密,得到对称加密密钥,之后用对称加密密钥解密,然后用Bob的公钥
解密得到数据指纹,并且验证了Bob的身份,最后Alice使用相同的单向加密算法得到数据指纹并进行验证。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
1.构建私有CA
生成私钥
[root@localhost ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4906)
生成自签证书
[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out \
/etc/pki/CA/cacert.pem -days 3655
为CA提供所需的目录及文件
[root@localhost ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
[root@localhost ~]# touch /etc/pki/CA/{serial,index.txt}
[root@localhost ~]# cd /etc/pki/CA
[root@localhost ~]# echo 01 > /etc/pki/CA/serial
2.要用到证书进行安全通信的服务器,向CA请求签署证书
用到证书的主机生成私钥
[root@centos7 ~]# mkdir /etc/httpd/ssl
[root@centos7 ~]# mkdir -pv /etc/httpd/ssl
[root@centos7 ~]# cd /etc/httpd/ssl
[root@centos7 ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
生成证书签署请求
[root@centos7 ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -out \
/etc/httpd/ssl/httpd.csr -days 365
将请求通过可靠方式发送给CA主机
[root@centos7 ~]# scp httpd.csr 192.168.99.14:/tmp/
在CA主机上签署证书
[root@localhost ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
查看证书中的信息
[root@localhost ~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject
将证书通过可靠方式发送给客户端
[root@localhost ~]# scp httpd.crt 192.168.99.13:/etc/httpd/ssl
3、描述DNS查询过程以及DNS服务器类别。
DNS查询过程:
client发送请求-->hosts文件(强行定向某个文件到某个域名的结果)-->先查找本地缓存(如果没有缓存)
-->DNSserver(recursion递归查询主从DNS服务器)-->server Cache(DNS缓存)-->迭代查询-->如没有直
接查找根服务器,根服务器告知负责的顶级域-->查找顶级域告知区域负责的域-->进行解析将结果返回给客户端
DNS查询类型:
对于一次dns查询来说,一般分为两段,首段是递归,然后是迭代。对于客户端来说发出的请求一般都是递归
请求,而对于互联网上的dns服务器来说,发出的请求一般都是迭代请求。
递归查询:只发出一次查询请求就一定能得到最终解析结果;
迭代查询:得到最终解析结果需多次发起查询请求。
DNS服务器类型:
主dns服务器:维护所负责解析的域内解析库服务器,解析库由管理员维护;
从dns服务器:从主dns服务器或其他从dns服务器传送一份解析库文件;
缓存dns服务器:不存在任何zone配置文件,仅仅依靠缓存来为客户端提供服务;
转发器:当请求的dns解析记录不在当前解析区域时,转发器将负责转发进行迭代查询。
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
主dns服务器 node1.magedu.com 192.168.99.14 /centos6.8
从dns服务器 node3.magedu.com 192.168.99.13 /centos7.1
子域dns服器 node2.cdn.magedu.com 192.168.99.17 /centos7.1
1.主dns服务器
安装bind程序
yum install bind -y
开启监听192.168.99.14 dns 53 端口
vim /etc/named.conf
options {
listen-on port 53 { 192.168.99.14; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
//allow-query { localhost; }; 关闭仅允许本机查询
recursion yes;
dnssec-enable no; 关闭 dnssec-enable
dnssec-validation no; 关闭 dnssec-validation
name-checkconf 检查主配置文件
service start named 开启名称解析服务程序
正向解析
vim /etc/named.rfc1912.zones 在主配置文件中添加正向区域
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
named-checkconf 检查主配置文件
vim /var/named/magedu.com.zone 添加正向区域配置文件
$TTL 3600
$ORIGIN magedu.com.
@ IN SOA node3.magedu.com. dnsadmin@magedu.com. (
2017010803
1H
10M
3D
1D )
IN NS node3
IN NS node1
node3 IN A 192.168.99.14 主dns服务器
node1 IN A 192.168.99.13 从dns服务器
node2 IN A 192.168.99.17
www IN A 192.168.99.14
web IN CNAME www
pop3 IN A 192.168.99.14
cdn IN NS node2.cdn 子域NS记录
node2.cdn IN A 192.168.99.17 子域A记录
named-checkzone "magedu.com" /var/named/magedu.com.zone 检查正向区域配置文件
rndc status
rndc reload
rndc status 查看dns服务状态
chown :named /var/named/magedu.com.zone 设置属组为:named
chmod o= /var/named/magedu.com.zone 清空other 用户权限
rndc reload 重新加载配置文件
反向解析
vim /etc/named.rfc1912.zones 在主配置文件中添加反向区域
zone "99.168.192.in-addr.arpa" IN {
type master;
file "192.168.99.zone";
};
named-checkconf 检查主配置文件
vim /var/named/192.168.99.zone 添加反向区域配置文件
$TTL 3600
$ORIGIN 99.168.192.in-addr.arpa.
@ IN SOA node3.magedu.com. nsadmin.magedu.com. (
2017010803
1H
10M
3D
12H )
IN NS node3.magedu.com.
IN NS node1.magedu.com.
14 IN PTR node3.magedu.com.
13 IN PTR node1.magedu.com.
17 IN PTR node2.magedu.com.
14 IN PTR www.magedu.com.
14 IN PTR pop3.magedu.com.
named-checkzone "99.168.192.in-addr.arpa" /var/named/192.168.99.zone 检查反向区域配置文件
chown :named /var/named/magedu.com.zone 设置属组为:named
chmod o= /var/named/magedu.com.zone 清空other 用户权限
rndc reload 重新加载配置文件
2.从dns服务器
vim /etc/named.conf
options {
listen-on port 53 { 127.0.0.1; 192.168.99.13; };
vim /etc/named.rfc1912.zones
zone "magedu.com" IN { 正向解析
type slave;
file "slaves/magedu.com.zone";
masters { 192.168.99.14; };
};
zone "99.168.192.in-addr.arpa" IN { 反向解析
type slave;
file "slaves/192.168.99.zone";
named-checkconf
rndc reload
3.子域服务器
vim /etc/named.conf
options {
listen-on port 53 { 127.0.0.1; 192.168.99.17; };
vim /etc/named.rfc1912.zones
zone "cdn.magedu.com" IN { 添加子区域
type master;
file "cdn.magedu.com.zone";
};
zone "magedu.com" IN { 区域转发
type forward;
forward only;
forwarders { 192.168.99.14; 192.168.99.13; };
};
vim /var/named/cdn.magedu.com.zone 进行子域授权
$TTL 3600
$ORIGIN cdn.magedu.com.
@ IN SOA node2.cdn.magedu.com. nsadmin.cdn.magedu.com. (
2018010803
1H
10M
1D
2H )
IN NS node2
node2 IN A 192.168.99.17
www IN A 192.168.99.17
原创文章,作者:N22_上海_长清,如若转载,请注明出处:http://www.178linux.com/58478
评论列表(1条)
加密算法不仅仅是作业描述的那一点,还有DES、RSA、SHA、AES、ECC等,都可以研究一下。