1、详细描述一次加密通讯的过程,结合图示最佳。
加密过程 1、先用单向加密算法计算出数据的特征码 2、私钥加密特征码,并将结果附加在数据之后 3、生成一个临时的对称密钥,并使用对称密钥加密整段数据 4、获取对方的公钥,使用该公钥加密之前生成的临时对称密钥,并附加在数据之后 5、将所有数据发送给对方解密过程 1、先使用私钥解密加密的对称密钥 2、用对称密钥解密加密的数据 3、用对方的公钥解密特征码,能解密则身份得到验证 4、用相同的加密算法计算数据的特征码,并与解密得到的特征码进行比较,判断数据完整性
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。
构建私有CA: 在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可; 步骤: (1) 生成私钥; ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) (2) 生成自签证书; ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655 -new:生成新证书签署请求; -x509:生成自签格式证书,专用于创建私有CA时; -key:生成请求时用到的私有文件路径; -out:生成的请求文件路径;如果自签操作将直接生成签署过的证书; -days:证书的有效时长,单位是day; (3) 为CA提供所需的目录及文件; ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts} ~]# touch /etc/pki/CA/{serial,index.txt} ~]# echo 01 > /etc/pki/CA/serial 要用到证书进行安全通信的服务器,需要向CA请求签署证书: 步骤:(以httpd为例) (1) 用到证书的主机生成私钥; ~]# mkdir /etc/httpd/ssl ~]# cd /etc/httpd/ssl ~]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048) (2) 生成证书签署请求 ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365 (3) 将请求通过可靠方式发送给CA主机; (4) 在CA主机上签署证书; ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365 查看证书中的信息: ~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject3、描述DNS查询过程以及DNS服务器类别。
DNS查询过程 当客户端程序要通过一个主机名称来访问网络中的一台主机时,它首先要得到这个主机名称所对应的IP地址,因为IP数据报中允许放置的是目地主机的IP地址,而不是主机名称。可以从本机的hosts文件中得到主机名称所对应的IP地址,但如果hosts文件不能解析该主机名称时,只能通过向客户机所设定DNS服务器进行查询了。可以以不同的方式对DNS查询进行解析: 第一种是本地解析,就是客户端可以使用缓存信息就地应答,这些缓存信息是通过以前的查询获得的。 第二种是直接解析,就是直接由所设定的DNS服务器解析,使用的是该DNS服务器的资源记录缓存或者其权威回答(如果所查询的域名是该服务器管辖的)。 第三种是递归查询,即设定的DNS服务器代表客户端向其他DNS服务器查询,以便完全解析该名称,并将结果返回至客户端。 第四种是迭代查询,即设定的DNS服务器向客户端返回一个可以解析该域名的其他DNS服务器,客户端再继续向其他DNS服务器查询。DNS服务器的类型: DNS域名服务器是用来存储主机-域名映射信息的,这些服务器具体又可以分为以下几类: 1、主域名服务器(primary name server) 它是特定域所有信息的权威性信息源。它从域管理员构造的本地磁盘文件中加载域信息,该文件(区文件)包含着该服务器具有管理权的一部分域结构的最精确信息。主服务器是一种权威性服务器,因为它以绝对的权威去回答对其管辖域的任何查询。 2、从域名服务器(secondary name server) 它可从主服务器中复制一整套域信息。区文件是从主服务器中复制出来的,并作为本地磁盘文件存储在辅助服务器中。这种复制称为"区文件复制"。在辅助域名服务器中有一个所有域信息的完整拷贝,可以有权威地回答对该域的查询。因此,辅助域名服务器也称作权威性服务器。配置辅助域名服务器不需要生成本地区文件,因为可以从主服务器中下载该区文件。 3、缓存名称服务器(caching-only server) 可运行域名服务器软件,但是没有域名数据库软件。它从某个远程服务器取得每次域名服务器查询的结果,一旦取得一个,就将它放在高速缓存中,以后查询相同的信息时就用它予以回答。高速缓存服务器不是权威性服务器,因为它提供的所有信息都是间接信息。对于高速缓存服务器只需要配置一个高速缓存文件,但最常见的配置还包括一个回送文件,这或许是最常见的域名服务器配置。 4、转发域名服务器 负责所有非本地域名的本地查询。转发域名服务器接到查询请求时,在其缓存中查找,如找不到把请求依次转发到指定的域名服务器,直到查询到结果为止,否则返回无法映射的结果。
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
修改主配置文件/etc/named.conf
~]# vim /etc/named.conf
options{
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file"/var/named/data/named_stats.txt";
memstatistics-file"/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
dnssec-enable no;
dnssec-validation no;
/* Path to ISC DLV key */
// bindkeys-file"/etc/named.iscdlv.key";
// managed-keys-directory"/var/named/dynamic";
};
logging {
channel default_debug{
file"data/named.run";
severitydynamic;
};
};
zone "." IN {
type hint;
file"named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
在文件/etc/named.rfc1912.zones中定义区域
~]# vim/etc/named.rfc1912.zones
zone"magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone"12.168.192.in-addr.arpa" IN {
type master;
file "12.168.192.zone";
};
创建区域解析库文件
named]# vim magedu.com.zone
$TTL 3600
$ORIGIN magedu.com.
@ IN SOA ns1.magedu.com. dnsadmin.magedu.com. (
2018041801
1H
10M
3D
1D)
IN NS ns1
IN NS ns2
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 192.168.12.130
ns2 IN A 192.168.12.131
mx1 IN A 192.168.12.130
mx2 IN A 192.168.12.131
www IN A 192.168.12.130
www IN A 192.168.12.131
web IN CNAME www
named]# vim 12.168.192.zone
$TTL 3600
$ORIGIN 12.168.192.in-addr.arpa.
@ IN SOA ns1.magedu.com. dnsadmin.magedu.com. (
2018041801
1H
10M
3D
1D)
IN NS ns1.magedu.com.
IN NS ns2.magedu.com.
130 IN PTR ns1.magedu.com.
131 IN PTR ns2.magedu.com.
130 IN PTR xm1.magedu.com.
131 IN PTR xm2.magedu.com.
130 IN PTR www.magedu.com.
131 IN PTR www.magedu.com.
检查是否有语法错误
named]# named-checkconf
named]# named-checkzone "magedu.com" magedu.com.zone
zone magedu.com/IN: loaded serial 2018041801
OK
named]# named-checkzone "0.11.10.in-addr.arpa" 0.11.10.zone
zone 0.11.10.in-addr.arpa/IN: loaded serial 2018041801
OK
修改权限及重启服务
named]# chown named magedu.com.zone
named]# chown named 12.168.192.zone
~]# systemctl reload named.service
配置从DNS服务器
~]# vim/etc/named.rfc1912.zones
zone"magedu.com" IN {
type slave;
masters { 192.168.12.130; };
file "slaves/magedu.com.zone";
};
zone"12.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.12.130; };
file "slaves/12.168.192.zone";
};
检查是否有语法错误,重载服务
配置子域服务器
在主DNS服务器(父域)的区域解析库文件中添加NS和A记录
~]# vim/var/named/magedu.com.zone
cdn IN NS ns1.cdn.magedu.com.
ns1.cdn IN A 192.168.12.132
在子域的配置文件中添加区域
~]# vim /etc/named.rfc1912.zones
zone"cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone";
};
zone"magedu.com" IN {
type forward;
forward first;
forwarders { 192.168.12.130; };
};
配置子域服务器的区域文件
named]# vim cdn.magedu.com.zone
$TTL 3600
$ORIGIN cdn.magedu.com.
@ IN SOA ns1.magedu.com. dnsadmin.magedu.com. (
2018041801
1H
10M
3D
1D)
IN NS ns1
ns1 IN A 192.168.12.132
www IN A 192.168.12.132
检查是否有语法错误,重载服务
原创文章,作者:浙江-咲,如若转载,请注明出处:http://www.178linux.com/73665
评论列表(1条)
这个流程图满分,在企业里这种将抽象事物具象化的能力非常受欢迎。