1、详细描述一次加密通讯的过程,结合图示最佳。
发送方:
1、使用单项加密算法计算数据文件的特征码
2、使用发送方私钥加密特征码
3、使用对称加密算法生成一对临时密钥
4、使用临时密钥加密数据文件和加密后的特征码
5、使用接收方的公钥加密使用临时密钥加密后的数据和特征码和临时密钥的解密密码,并将之发送给接收方
接收方
1、使用接收方的私钥解密接收到的加密文件,解密后得到使用临时密钥加密后的加密文件和临时密钥的解密密码
2、使用得到的临时密钥解密密码解密加密文件,得到数据文件和特征码
3、使用和发送方相同的单项加密算法计算数据文件得到特征码,并将之与解密得到的特征码对比验证数据的完整性
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
构建私有CA(openssl配置文件 /etc/pki/tls/openssl.cnf )
1、生成私钥
2、生成自签证书
1、生成私钥 [root@localhost ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) Generating RSA private key, 4096 bit long modulus ......................................................................................................................................................................................................................................................................................................................++ ......................................++ e is 65537 (0x10001) 2、生成自签证书 [root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3560
为客户端颁发证书
1、客户端生成密钥文件
2、生成证书签署请求
3、将请求通过可靠方式发送给CA主机
4、在CA上签署证书
1、生成私钥 [root@localhost ~]# (umask 077; openssl genrsa -out /tmp/ceshi.key 2048) Generating RSA private key, 2048 bit long modulus .................+++ ............+++ e is 65537 (0x10001) 2、生成证书签署请求 [root@localhost ~]# openssl req -new -key /tmp/ceshi.key -out /tmp/ceshi.csr -days 3653、将证书签署请求 发送给CA主机4、CA签署请求 [root@localhost ~]# openssl ca -in /tmp/ceshi.csr -out /tmp/ceshi.crt -days 3655、CA将证书发送给客户端
3、描述DNS查询过程以及DNS服务器类别。
客户端在访问一个网址的时候
第一步:查询本地hosts文件
第二步:hosts文件中查询不到时查询本机的缓存
第三步:本地缓存查询不到的时候,查询本机指向的默认DNS服务器
第四步:由默认DNS服务器向根DNS服务器进行递归查询(客户端只查询一次,由指定的DNS服务器进行查询到结果后返回客户端)
根据DNS服务器的用途分类:
(1)主域名服务器:负责维护这个区域的所有域名信息,是特定的所有信息的权威信息源。也是说,主域名服务器内所存储的是该区域的正本数据,系统管理员可以对它进行修改。
(2)辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助域名服务器作为备份服务提供域名解析服务。辅助域名服务器中的区域文件内的数据是从另外一台域名服务器复制过来的,并不是直接输入的,也是说这个区域文件只是一份副本,这里的数据是无法修改的。
(3)缓存域名服务器:可运行域名服务器软件但没有域名数据库。它从某个远程服务器取得每次域名服务器查询的回答,一旦获取一个答案,将它放在高速缓存中,以后查询相同的信息时用它予以回答。缓存域名服务器不是权威性服务器,因为提供的所有信息都是间接信息。
(4)转发域名服务器:负责所有非本地域名的本地查询。转发域名服务器接到查询请求时,在其缓存中查找,如找不到把请求依次转发到指定的域名服务器,直到查询到结果为止,否则返回无法映射的结果。
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
环境:
主DNS服务器 DNS1 192.168.44.20
从DNS服务器 DNS2 192.168.44.22
子域DNS服务器 DNS3 192.168.44.23
一、配置正向解析和逆向解析
1、主服务器安装bind包
[root@DNS1 ~]# yum -y install bind*
2、编4、编辑正向解析数据文件辑主配置文件 /etc/named.conf (修改配置文件的ip和允许的范围) [root@DNS1 ~]# vim /etc/named.conf
options { listen-on port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; };
修改后检查配置文件
[root@DNS1 ~]# named-checkconf
3、添加正向域和反向域配置
[root@DNS1 ~]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "44.168.192.in-addr.arpa" IN {
type master;
file "192.168.44.zone";
};
4、编辑正向解析数据文件
[root@DNS1 ~]# vim /var/named/magedu.com.zone
$TTL 3600
$ORIGIN magedu.com.
@ IN SOA @ dnsadmin.magedu.com. (
2017040400
1H
10M
3D
1D )
IN NS ns1
IN NS ns2
IN MX 10 ms1
IN MX 20 ms2
ns1 IN A 192.168.44.20
ns2 IN A 192.168.44.22
ms1 IN A 192.168.44.23
ms2 IN A 192.168.44.23
web IN CNAME ns1
www IN CNAME ns1
5、编辑反向解析区域数据文件
[root@DNS1 ~]# vim /var/named/192.168.44.zone
$TTL 3600$ORIGIN 44.168.192.in-addr.arpa.@ IN SOA ns1.magedu.com. dnsadmin.magedu.com. ( 2017040400 1H 10M 3D 12H ) IN NS ns1.magedu.com. IN NS ns2.magedu.com.20 IN PTR ns1.magedu.com.22 IN PTR ns2.magedu.com.23 IN PTR ms1.magedu.com.23 IN PTR ms2.magedu.com.6、修改区域数据文件的属组和权限[root@DNS1 ~]# chgrp named /var/named/magedu.com.zone /var/named/192.168.44.zone [root@DNS1 ~]# chmod o-x /var/named/magedu.com.zone /var/named/192.168.44.zone
7、检查配置文件、重启服务或重载配置
[root@DNS1 ~]# named-checkconf -zzone localhost.localdomain/IN: loaded serial 0zone localhost/IN: loaded serial 0zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0zone 0.in-addr.arpa/IN: loaded serial 0zone magedu.com/IN: loaded serial 2017040400zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400
[root@DNS1 ~]# rndc reloadserver reload successful
8、测试
正解
[root@DNS1 ~]# dig www.magedu.com; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16029;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.magedu.com. IN A;; ANSWER SECTION:www.magedu.com. 3600 IN CNAME ns1.magedu.com.ns1.magedu.com. 3600 IN A 192.168.44.20;; AUTHORITY SECTION:magedu.com. 3600 IN NS ns2.magedu.com.magedu.com. 3600 IN NS ns1.magedu.com.;; ADDITIONAL SECTION:ns2.magedu.com. 3600 IN A 192.168.44.22;; Query time: 1 msec;; SERVER: 127.0.0.1#53(127.0.0.1);; WHEN: Wed Apr 05 17:42:14 EDT 2017;; MSG SIZE rcvd: 125
反解
[root@DNS1 ~]# dig -x 192.168.44.22
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -x 192.168.44.22
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58321
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;22.44.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
22.44.168.192.in-addr.arpa. 3600 IN PTR ns2.magedu.com.
;; AUTHORITY SECTION:
44.168.192.in-addr.arpa. 3600 IN NS ns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com. 3600 IN A 192.168.44.20
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Apr 05 17:42:50 EDT 2017
;; MSG SIZE rcvd: 117
二、子域授权
1、在授权服务器配置文件中增加
[root@DNS1 ~]# vim /var/named/magedu.com.zonedns IN NS ns1.dns ns1.dns IN A 192.168.44.23
2、在被授权服务器上安装bind,并编辑配置文件 /etc/named.rfc1912.zones
[root@DNS3 ~]# yum -y install bind
[root@DNS3 ~]# vim /etc/named.rfc1912.zones
zone "dns.magedu.com" IN {
type master;
file "dns.magedu.com.zone";
};
zone "magedu.com" IN {
type forward;
forward only;
forwarders { 192.168.44.20;};
};
3、在被授权服务器上添加子域数据库文件
[root@DNS3 ~]# vim /var/named/dns.magedu.com.zone
$TTL 3600
$ORIGIN dns.magedu.com.
@ IN SOA ns1.dns.magedu.com. dnsadmin.magedu.com. (
2017040400
1H
2D
10M
3D )
IN NS ns1
ns1 IN A 192.168.44.23
ns2 IN A 192.168.44.20
4、检查配置文件并修改数据库配置文件权限后重启服务或重载配置文件,
[root@DNS3 ~]# named-checkconf -z zone localhost.localdomain/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone 0.in-addr.arpa/IN: loaded serial 0 zone dns.magedu.com/IN: loaded serial 2017040400 [root@DNS3 ~]# chown :named /var/named/dns.magedu.com.zone[root@DNS3 ~]# chmod o-x /var/named/dns.magedu.com.zone[root@DNS3 ~]# service named restart
5、测试使用
[root@DNS1 ~]# dig -t A www.dns.magedu.com @192.168.44.23 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.dns.magedu.com @192.168.44.23 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4146 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.dns.magedu.com. IN A ;; ANSWER SECTION: www.dns.magedu.com. 3600 IN A 192.168.44.20 ;; AUTHORITY SECTION: dns.magedu.com. 3600 IN NS ns1.dns.magedu.com. ;; ADDITIONAL SECTION: ns1.dns.magedu.com. 3600 IN A 192.168.44.23 ;; Query time: 4 msec ;; SERVER: 192.168.44.23#53(192.168.44.23) ;; WHEN: Thu Apr 06 18:22:14 EDT 2017 ;; MSG SIZE rcvd: 97
三、主从复制
1、修改主DNS配置文件(允许从服务器复制)
[root@DNS1 ~]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
allow-transfer { 192.168.44.22 ;};
};
2、修改主服务器的域数据库文件(添加从服务器的资源记录和A记录)
[root@DNS1 ~]# vim /var/named/magedu.com.zone
$TTL 3600
$ORIGIN magedu.com.
@ IN SOA @ dnsadmin.magedu.com. (
2017040400
1H
10M
3D
1D )
IN NS ns1
dns IN NS ns1.dns
IN NS slave
slave IN A 192.164.44.22
ns1.dns IN A 192.168.44.23
ns1 IN A 192.168.44.20
ms1 IN A 192.168.44.23
ms2 IN A 192.168.44.23
web IN CNAME ns1
www IN CNAME ns1
3、检查主DNS服务器配置文件后重载配置文件
[root@DNS1 ~]# named-checkconf -z zone localhost.localdomain/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone 0.in-addr.arpa/IN: loaded serial 0 zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400 zone magedu.com/IN: loaded serial 2017040400 [root@DNS1 ~]# rndc reload server reload successful
4、从服务器安装bind软件包并修改配置文件
[root@DNS2 ~]# yum -y install bind*
[root@DNS2 ~]# vim /etc/named.conf
options {
listen-on port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
[root@DNS2 ~]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type slave;
file "slaves/magedu.com.zone";
masters { 192.168.44.20; };
};
5、检查配置文件并重启或重载named配置文件
[root@DNS2 ~]# named-checkconf -z zone localhost.localdomain/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone 0.in-addr.arpa/IN: loaded serial 0 [root@DNS2 ~]# systemctl restart named
6、使用dig测试主从复制是否可行
[root@DNS2 ~]# dig -t axfr magedu.com @192.168.44.20 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t axfr magedu.com @192.168.44.20 ;; global options: +cmd magedu.com. 3600 IN SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60 magedu.com. 3600 IN NS ns1.magedu.com. dns.magedu.com. 3600 IN NS ns1.dns.magedu.com. dns.magedu.com. 3600 IN NS ns2.magedu.com. ns1.dns.magedu.com. 3600 IN A 192.168.44.23 ms1.magedu.com. 3600 IN A 192.168.44.23 ms2.magedu.com. 3600 IN A 192.168.44.23 ns1.magedu.com. 3600 IN A 192.168.44.20 ns2.magedu.com. 3600 IN A 192.164.44.22 web.magedu.com. 3600 IN CNAME ns1.magedu.com. www.magedu.com. 3600 IN CNAME ns1.magedu.com. magedu.com. 3600 IN SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60 ;; Query time: 1 msec ;; SERVER: 192.168.44.20#53(192.168.44.20) ;; WHEN: Sun Apr 09 12:25:01 EDT 2017 ;; XFR size: 12 records (messages 1, bytes 291)
7、修改主服务器数据文件版本号后查看重复服务器日志
[root@DNS2 ~]# tailf /var/log/messages Apr 9 12:36:14 localhost named[2365]: zone magedu.com/IN: Transfer started. Apr 9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: connected using 192.168.44.22#53928 Apr 9 12:36:14 localhost named[2365]: zone magedu.com/IN: transferred serial 2017040419 Apr 9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: Transfer completed: 1 messages, 12 records, 291 bytes, 0.001 secs (291000 bytes/sec) Apr 9 12:36:14 localhost named[2365]: zone magedu.com/IN: sending notifies (serial 2017040419)
8、测试从服务器解析
[root@DNS2 ~]# dig www.magedu.com @192.168.44.22 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com @192.168.44.22 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48968 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.magedu.com. IN A ;; ANSWER SECTION: www.magedu.com. 3600 IN CNAME ns1.magedu.com. ns1.magedu.com. 3600 IN A 192.168.44.20 ;; AUTHORITY SECTION: magedu.com. 3600 IN NS ns1.magedu.com. ;; Query time: 0 msec ;; SERVER: 192.168.44.22#53(192.168.44.22) ;; WHEN: Sun Apr 09 12:30:26 EDT 2017 ;; MSG SIZE rcvd: 91
原创文章,作者:胡安慧,如若转载,请注明出处:http://www.178linux.com/71699
评论列表(1条)
证书加密还可以再深入下,dns这块比较详细,能提现迭代查询和递归查询会更好~