1、详细描述一次加密通讯的过程,结合图示最佳。
发送者:
1)使用单向加密算法提取要发送文件的特征码;
2)使用自己的私钥加密特征码并附加在数据后面;
3)生成用于对称加密的临时密码;
4)用此临时密钥加密数据和已经使用私钥加密后的特征码;
5)使用接收方的公钥加密此临时密钥,附加在对称加密后的数据后方。
接收方:
1)使用自己的私钥解密加密后的临时密钥,从而获得对称密钥;
2)使用对称密钥解密对称加密的数据和私钥加密的特征码密文,从而获得数据和特征码密文;
3)使用发送方的公钥解密特征码密文,从而获得特征码明文;
4)使用与对方同样的单向加密算法计算数据的特征码,并与解密而来的进行比较。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。
创建私有CA:
1)生成私钥;
2)生成自签署证书;
(1)私钥用于签发证书时,向证书添加数字签名使用;
(2)证书:每个通信方都导入此证书至“受信任的证书颁发机构”。
为客户端颁发证书:
1)客户端申请证书
在证书申请的主机上进行如下步骤:
(1)生成私钥;
(2)生成证书签署请求;
(3)把请求发送给CA。
2)CA签发证书
(1)验证请求者信息;
(2)签署证书;
(3)把签署好的证书发还给请求者。
3、描述DNS查询过程以及DNS服务器类别。
DNS查询过程:
1)本地客户端先查询本地hosts文件,看是否有www.magedu.com主机与ip的对应关系,若有,则直接使用;若没有,则进行第2步;
2)此时客户端向指定的本地DNS服务器(假设为NS1)发起请求,NS1在收到来自客户端的请求后,会先去查询本地的缓存记录,如果有www.magedu.com记录,则 直接反馈给客户端;若没有,则进行第3步;
3)此时本地DNS1服务器会主动向根域服务器发起查询www.magedu.com的请求,但是由于根域服务器只记录了.com域服务器的相关信息,此时根会告诉NS1:我这里没有www.magedu.com的记录,但我有.com域的信息,你可以去.com域服务器去查询,并告知.com域服务器的地址;
4)于是NS1就根据根域服务器告知的.com域地址向.com发起查询www.magedu.com的请求,由于.com域服务器只记录了magedu.com的记录,但没有www主机的记录,因此就告知NS1服务器说:我这里没有www.magedu.com的具体解析记录,但我知道magedu.com的地址,你可以去向magedu.com查询;
5)接着NS1就根据.com告知的magedu.com的地址向magedu.com发起了查询www.magedu.com的请求,于是magedu.com就去查询本地的记录,找到了www主机对应的IP地址,于是将www.magedu.com的IP地址反馈给NS1;
6)NS1在收到具体的结果后,会先将结果存储在本地DNS缓存当中,以方便如有下次相同的解析请求时能够快速响应,之后再将结果直接反馈给客户端,完成解析。
DNS服务器类型:
负责解析至少一个域:
1)主名称服务器;
2)辅助名称服务器;
不负责解析:
1)缓存名称服务器;
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
环境:
主DNS服务器:192.168.0.11
从DNS服务器:192.168.0.21
子域DNS服务器:192.168.0.12
******1. 正反向解析******
1)安装DNS服务器软件
~]# yum install bind* -y
2)编辑配置,添加magedu.com的正向域和反向域
~]# vim /etc/named.conf
options {
listen-on port 53 { any; };
allow-query { any; };
.
.
.
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "0.168.192.in-addr.arpa" IN {
type master;
file "named.192.168.0";
};
.
.
.
3)创建正向域数据库文件
~]# vim /var/named/magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@ IN SOA ns1.magedu.com dnsadmin.magedu.com. (
2017032001
1H
10M
3D
1D )
IN NS ns1
ns1 IN A 192.168.0.11
www IN A 192.168.0.11
bbs IN A 192.168.0.12
4)创建反向域数据库文件
$TTL 86400
$ORIGIN 0.168.192.in-addr.arpa.
@ IN SOA ns1.magedu.com dnsadmin.magedu.com. (
2017032001
1H
10M
3D
1D )
IN NS ns1.magedu.com.
11 IN PTR ns1.magedu.com.
11 IN PTR www.magedu.com.
12 IN PTR bbs.magedu.com.
5)修改数据库文件权限
]# chown root.named magedu.com.zone named.192.168.0 ]# chmod 640 magedu.com.zone named.192.168.0
6)配置和语法检查
]# named-checkconf ]# named-checkzone magedu.com /var/named/magedu.com.zone zone magedu.com/IN: loaded serial 2017032001 OK ]# named-checkzone 0.168.192.in-addr.arpa /var/named/named.192.168.0 zone 0.168.192.in-addr.arpa/IN: loaded serial 2017032001 OK
7)重载配置文件和域数据库文件
]# systemctl reload named.service
8)结果验证
]# dig -t A bbs.magedu.com ; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A bbs.magedu.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12637 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;bbs.magedu.com. IN A ;; ANSWER SECTION: bbs.magedu.com. 86400 IN A 192.168.0.12 #能正确解析到bbs.magedu.com ;; AUTHORITY SECTION: magedu.com. 86400 IN NS ns1.magedu.com. ;; ADDITIONAL SECTION: ns1.magedu.com. 86400 IN A 192.168.0.11 ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sun Mar 19 21:39:00 EDT 2017 ;; MSG SIZE rcvd: 93 ]# dig -x 192.168.0.12 ; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -x 192.168.0.12 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6916 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;12.0.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 12.0.168.192.in-addr.arpa. 86400 IN PTR bbs.magedu.com. #能正确反解析 ;; AUTHORITY SECTION: 0.168.192.in-addr.arpa. 86400 IN NS ns1.magedu.com. ;; ADDITIONAL SECTION: ns1.magedu.com. 86400 IN A 192.168.0.11 ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sun Mar 19 21:39:31 EDT 2017 ;; MSG SIZE rcvd: 116
******2. 子域授权******
9)在子域DNS服务器配置文件中添加下列配置
]# vim /etc/named.rfc1912.zones
.
.
.
zone "cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone";
};
zone "magedu.com" IN {
type forward;
forward only;
forwarders { 192.168.0.11; };
};
10)在子域DNS服务器上创建域数据库文件
]# vim cdn.magedu.com.zone
$TTL 3600
$ORIGIN cdn.magedu.com.
@ IN SOA ns1.cdn.magedu.com. nsadmin.cdn.magedu.com. (
2017032001
1H
10M
1D
2H )
IN NS ns1
ns1 IN A 192.168.0.12
www IN A 192.168.0.13
11)修改域数据库文件权限
]# chmod 640 cdn.magedu.com.zone ]# chown root.named cdn.magedu.com.zone
12)配置和语法检查
]# named-checkconf ]# named-checkzone cdn.magedu.com /var/named/cdn.magedu.com.zone zone cdn.magedu.com/IN: loaded serial 2017032001 OK
13)在父域DNS的域数据库文件中添加子域DNS的相关信息
]# vim /var/named/magedu.com.zone . . . cdn IN NS ns1.cdn ns1.cdn IN A 192.168.0.12
14)重载子域DNS和父域DNS的配置和域数据库文件
]# rndc reload server reload successful
15)结果验证
]# dig -t A www.cdn.magedu.com @192.168.0.11 #通过父域进行解析 ; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A www.cdn.magedu.com @192.168.0.11 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50092 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.cdn.magedu.com. IN A ;; ANSWER SECTION: www.cdn.magedu.com. 3150 IN A 192.168.0.13 #解析到子域www服务器,说明子域授权成功 ;; AUTHORITY SECTION: cdn.magedu.com. 3150 IN NS ns1.cdn.magedu.com. ;; ADDITIONAL SECTION: ns1.cdn.magedu.com. 3150 IN A 192.168.0.12 ;; Query time: 3 msec ;; SERVER: 192.168.0.11#53(192.168.0.11) ;; WHEN: Mon Mar 20 09:53:23 EDT 2017 ;; MSG SIZE rcvd: 97
******3. 主从同步******
16)在从DNS服务器的配置文件中添加下列配置:
~]# vim /etc/named.conf
options {
listen-on port 53 { any; };
allow-query { any; };
.
.
.
zone "magedu.com" IN {
type slave;
file "slaves/magedu.com.zone";
masters { 192.168.0.11; };
};
17)在主DNS服务上修改配置文件,允许从服务器与主服务器同步
]# vim /etc/named.conf
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
allow-transfer { 192.168.0.21; };
};
18)在主DNS服务器上的域数据库文件中添加从DNS服务器的相关信息
]# vim /var/named/magedu.com.zone
.
.
.
IN NS slave
slave IN A 192.168.0.21
.
.
.
19)重载主从服务器上的配置
]# rndc reload server reload successful
20)主从同步测试
]# vim magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@ IN SOA ns1.magedu.com dnsadmin.magedu.com. (
2017032002 #每更改一次序列号要加1
1H
10M
3D
1D )
IN NS ns1
IN NS slave
slave IN A 192.168.0.21
ns1 IN A 192.168.0.11
www IN A 192.168.0.11
bbs IN A 192.168.0.12
cdn IN NS ns1.cdn
ns1.cdn IN A 192.168.0.12
blog IN A 192.168.0.14 #新添加一个条目
]# rndc reload #重载配置生效
server reload successful
#在从DNS服务器上观察系统日志,发现已经有同步信息
]# tail -f /var/log/messages
Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: transferred serial 2017032002
Mar 19 21:37:06 centos6 named-sdb[4223]: transfer of 'magedu.com/IN' from 192.168.0.11#53: Transfer completed: 1 messages, 11 records, 293 bytes, 0.005 secs (58600 bytes/sec)
Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: sending notifies (serial 2017032002)
]# cd /var/named/slaves/
]# cat magedu.com.zone
$ORIGIN .
$TTL 86400 ; 1 day
magedu.com IN SOA ns1.magedu.com.magedu.com. dnsadmin.magedu.com. (
2017032002 ; serial
3600 ; refresh (1 hour)
600 ; retry (10 minutes)
259200 ; expire (3 days)
86400 ; minimum (1 day)
)
NS ns1.magedu.com.
NS slave.magedu.com.
$ORIGIN magedu.com.
bbs A 192.168.0.12
blog A 192.168.0.14 #主DNS上新增的条目已经同步过来了
ns1 A 192.168.0.11
ops NS ns1.ops
$ORIGIN ops.magedu.com.
ns1 A 192.168.0.12
$ORIGIN magedu.com.
slave A 192.168.0.21
www A 192.168.0.11
原创文章,作者:N26-西安-方老喵,如若转载,请注明出处:http://www.178linux.com/71282
评论列表(1条)
非常到位,很棒。