1、详细描述一次加密通讯的过程,结合图示最佳。
- 第一步:他们需要实现协商好对称加密算法,单向加密算法,公钥加密算法,交换公钥等。
-
第二步:B用户想要将数据传给A,首先需要使用单向加密算法取出数据的特征码,并用自己的私钥对这段特征码进行加密(数字签名),B用户生成临时对称密钥,并用对称密钥加密整段数据,B用户使用
A用户的公钥加密一次性对称密钥,附加在整段数据后面,并将整段数据发送给A用户。 - 第三步:A用户使用自己的私钥来解密被加密的对称密钥,用对称密钥解密整段加密的内容,用用户B的公钥解密数字签名,如果解得开,数据来源得到验证,获取特征码与用户A使用相同的单向加密算法获取整段数据的特征码进行比较,如果相同,数据的完整性得到保证。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
(1)生成私钥
(umask 077,openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
(2)生成自签证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
(3)为CA创建所需要的目录或文件
mkdir /etc/pki/CA/{certs,crl,newcerts}
touch /etc/pki/CA/{serial,index.txt}
echo 01> /etc/pki/CA/serial
要用到证书进行安全通信的服务器,需要向ca服务器请求签署证书
步骤:
(1)用到的证书饿主机生成证书签署请求
(umask 077;openssl genrsa -out httpd.key 2048)
(2)生成证书签署请求
openssl req -new -key httpd.key -out httpd.csr -days 365
(3)将请求通过可靠方式发送给ca证书
(4)签署证书
openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
(5)查看证书中的信息
openssl x509 -in httpd.crt -noout -serial -subject
3、描述DNS查询过程以及DNS服务器类别。
- (1)用户发起dns解析请求,如果是此dns负责的解析列表或者有此域名的解析缓存,dns就返回给用户域名的解析ip。
- (2)若果此dns不知道此域名的解析,则此dns会帮用户去递归请求,去请求根服务器,根服务器也不知道,而是返回他二级域的IP。
- (3)此dns会去请求二级域,二级域返回他下面的三级域的地址。
- (4)依次迭代下去,最终找到请求域名的dns解析IP,返回给用户。
- (5)请求的dns会缓存下这个域名的解析,而后返回给用户。
dns服务器的类型:
负责解析至少一个域:
主名称服务器
辅助名称服务器
不负责解析:
缓存名称服务器
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
- (1)、能够对一些主机名进行正向解析和逆向解析;
- (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
- (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程”
配置正向解析
~]#vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
~]#vim /var/named/magedu.com.zone
$TTL 3600
@ IN SOA magedu.com. admin.magedu.com. (
2017031901 ;serial
1H ;refresh
10M ;retry
3D ;expire
1D ;negative answer ttl
)
IN NS ns1
ns1 IN A 10.211.55.24
www IN A 10.211.55.26
配置反向解析
~]#vim /etc/named.rfc1912.zones
zone "55.211.10.in-addr.arpa" IN {
type master;
file "55.211.10.zone";
};
~]#vim /var/named/55.211.10.zone
$TTL 3600
@ IN SOA jusene.me admin.jusene.me (
2017031901
1H
10M
3D
1D
)
IN NS ns1.magedu.com.
24 IN PTR ns1.jusene.me.
26 IN PTR www.jusene.me.
子域授权
父域
~]#vim /var/named/magedu.com.zone
$TTL 3600
@ IN SOA magedu.com. admin.magedu.com. (
2017031901 ;serial
1H ;refresh
10M ;retry
3D ;expire
1D ;negative answer ttl
)
IN NS ns1
ns1 IN A 10.211.55.24
www IN A 10.211.55.26
cdn IN NS ns1.cdn
ns1.cdn IN A 10.211.55.28
子域,在另外1台机器
~]#vim /etc/named.rfc1912.zones
zone "cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone";
};
~]#vim /var/named/cdn.magedu.com.zone
$TTL 3600
@ IN SOA cdn.magedu.com. admin.magedu.com. (
2017031901 ;serial
1H ;refresh
10M ;retry
3D ;expire
1D ;negative answer ttl
)
IN NS ns1
ns1 IN A 10.211.55.28
www IN A 10.211.55.29
主从复制
在另外1台机器,从服务器
~]#vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type slave;
file "slaves/magedu.com.zone";
masters { 10.211.55.24;};
};
主服务器
~]#vim /var/named/magedu.com.zone
$TTL 3600
@ IN SOA magedu.com. admin.magedu.com. (
2017031901 ;serial
1H ;refresh
10M ;retry
3D ;expire
1D ;negative answer ttl
)
IN NS ns1
IN NS ns2
ns2 IN A 10.211.55.25
ns1 IN A 10.211.55.24
www IN A 10.211.55.26
原创文章,作者:N25_随心,如若转载,请注明出处:http://www.178linux.com/71461
评论列表(1条)
如果可以画图来理解加密过程会更好