N21沉舟11周作业

1、详细描述一次加密通讯的过程,结合图示最佳。

加密解密过程.jpg

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

一、CA服务器端

#进入CA目录:
cd    /etc/pki/CA
#创建初始文件
touch index.txt serial
echo 01 > serial
#生成根密码
umask 077; openssl  genrsa -out /etc/pki/CA/private/cakey.pem 2048
#生成自签证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

N21沉舟11周作业

二、证书请求端(以httpd为例)

#生成密钥
umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048
#生成证书请求文件
openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr


N21沉舟11周作业

#复制请求文件至CA服务器
scp /etc/httpd/ssl/httpd.csr 192.168.50.178:/tmp/httpd.csr
#debian中使用
scp httpd.csr aa@192.168.50.129:/tmp/

三、CA端根据请求文件生成证书

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt

3、描述DNS查询过程以及DNS服务器类别。

DNS服务器类型:
1、主DNS服务器:维护所负责解析的域内解析库服务器,解析库由管理维护;
2、从DNS服务器:从主DNS服务器或其它的从DNS服务器那里区域传输一份解析库;
3、缓存DNS服务器:为客户端缓存客户端曾经查询的记录,找不到时,DNS服务器去迭代查询;
4、转发器:当请求的DNS记录不在自己所负责的解析区域时,交给转发器处理,转发器去迭代查询。

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

(1)、能够对一些主机名进行正向解析和逆向解析;

(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

 一、配置正向解析

a、安装bind程序包: yum install bind
b、编辑bind主配置文件, /etc/namec.conf, 
.options {
//      listen-on port 53 { 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
};
c、修改/etc/named.rfc1912.zones, 添 加以下内容 
    zone "magedu.com" IN {
    type master;
    file "magedu.com.zone";
};
d、新建区域配置文件/var/named/magedu.com/zone, 并修改属组为named, 文件内容 为:
$TTL 1D
@ IN SOA magedu.com. admin.magedu.com. (
     160901
        1D
        20M
        1W
        2D
)
magedu.com.     IN      NS      ns1.magedu.com.
magedu.com.     IN      NS      ns2.magedu.com.
www.magedu.com. IN      A 192.168.50.200
ns1.magedu.com. IN      A 192.168.50.200
ns2.magedu.com. IN      A 192.168.50.201
e、检查主配置文件和区域配置文件
named-checkconf
]# named-checkzone magedu.com magedu.com.zone
zone magedu.com/IN: loaded serial 160901
OK
f、使用dig工具测试域名解析结果]# dig -t A NS2.magedu.com @192.168.50.201
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> -t A NS2.magedu.com @192.168.50.201
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1370
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; QUESTION SECTION:
;NS2.magedu.com.INA
;; ANSWER SECTION:
NS2.magedu.com.48600INA192.168.50.201
;; AUTHORITY SECTION:
magedu.com.48600INNSNS2.magedu.com.
magedu.com.48600INNSns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.48600INA192.168.50.200
;; Query time: 0 msec
;; SERVER: 192.168.50.201#53(192.168.50.201)
;; WHEN: Mon Jul 18 21:35:58 2016
;; MSG SIZE  rcvd: 96

二、配置反向解析

a、在主配置文件/etc/name.rfc1912.zone中添加区域
   zone "50.168.192.in-addr.arpa" IN {
        type master;
        file "mage-arpa.zone";
};
b、在/var/named 中新建mage-arpa.zone区域解析文件
$TTL 86400
@ 86400 IN SOA ns1.magedu.com. admin.magedu.com. (
        1609001
        1H
        5M
        7D
        1D
)
        IN      NS      ns1.magedu.com.
        IN      NS      ns2.magedu.com.
200     IN      PTR     ns1.magedu.com.
201     IN      PTR     ns2.magedu.com.
200     IN      PTR     www.magedu.com.
c、重载配置文件后,测试反向解析
]# dig -x 192.168.50.201 @192.168.50.201
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> -x 192.168.50.201 @192.168.50.201
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3468
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;201.50.168.192.in-addr.arpa.INPTR
;; ANSWER SECTION:
201.50.168.192.in-addr.arpa. 86400 INPTRns2.magedu.com.
;; AUTHORITY SECTION:
50.168.192.in-addr.arpa. 86400INNSns2.magedu.com.
50.168.192.in-addr.arpa. 86400INNSns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.48600INA192.168.50.200
ns2.magedu.com.48600INA192.168.50.201
;; Query time: 0 msec
;; SERVER: 192.168.50.201#53(192.168.50.201)
;; WHEN: Mon Jul 18 22:22:26 2016
;; MSG SIZE  rcvd: 137

三、子载授权   

  在magedu.com中增加子域git.magedu.com,ns.git.magedu.com地址为192.168.50.230
     a、编辑父域的区域配置文件/var/named/magedu.zone,新增以下内容 
git.magedu.com IN NS ns.git.magedu.com.
ns.git.magedu.com. IN A  192.168.50.230
     b、在192.168.50.230启动named服务,配置对应区域配置文件即可

四、bind服务高可用 

  使用主从DNS服务器,完成高可用
主服务器配置:
     a、在主配置文件/etc/named.rfc1912.zone 区域配置中,type 设置为maste
      b、在区域配置文件中,必须要有对应的NS和A记录指向从服务器
从服务器配置
    a、在主在主配置文件/etc/named.rfc1912.zone 区域配置中,type 设置为slave, 同时设置
                masters "主服务器IP地址";
    b、  从服务器区域配置文件位于/var/named/slaves目录下,配置文件不用    手动配置,会自动从主服务器同步




原创文章,作者:N21-沉舟,如若转载,请注明出处:http://www.178linux.com/46994

(0)
上一篇 2016-09-19 13:48
下一篇 2016-09-19 13:48

相关推荐

  • 逻辑卷管理器(LVM)-介绍

    逻辑卷管理器(LVM) §·逻辑卷管理器LVM介绍 2 ※·LVM逻辑卷的简单描述 2 ※·LVM逻辑卷的好坏 2 ※·LVM结构组成部分 2 §·LVM的举例分析 3 ※·LVM设备名称 3 ※·LVM分区类型: 3 ※·LVM  PV相关命令 3 ※·LVM  VG相关命令 3 ※·LVM  LV 相关命令 3 ※·LVM …

    Linux干货 2016-08-29
  • openssl基本应用

    导言: 我们知道在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素,特别是对于一些大公司和一些机密文件在网络上传输,所以为了保证安全,我们必须给文件加密。今天,我们就来谈谈加密、解密、openssl的使用以及CA的实现过程。 数据的3大加密方式 对称加密 含义 指加密解密使用同一组密钥,是按数据分块以后进行加密的,前后数据块彼此之间有关联关系。 特性…

    Linux干货 2016-12-05
  • Linux的终端类型

    1、串行端口终端(/dev/ttySn):       串行端口终端(Serial Port Terminal)是使用计算机串行端口连接的终端设备。计算机把每个串行端口都看作是一个字符设备。有段时间这些串行端口设备通常被称为终端设备,因为那时它的最大用途就是用来连接终端。这些串行端口所对应的设备名称是/dev…

    Linux干货 2016-10-14
  • Linux 基础命令

    一,GNU/LINUX操作系统组成        1.1硬件  计算机硬件资源,CPU,主板,内存,存储器等 1.2 内核层 包含了硬件控制,设备驱动程序,虚拟文件系统,网络管理,内存管理,进程管理,程序调度等 ,属于内核空间 1.3 系统调用 所有的操作系统在其内核里都有一些内建的函数,这些函数可以用来完成…

    2016-10-29
  • openssl关于CA证书的创建

    1、用openssl实现证书申请 先在/etc/pki/CA/目录下创建一个index.txt的文件,作为ca证书的数据库 在相同目录下创建一个serial的序列号文件,并写入01 生成ca的签名证书用到的私钥文件 注意:私钥的权限时600,文件名必须是cakey.pem 生成自签证书 这样私有CA建立完成 申请认证: 在申请的机器上生成私钥 生成申请文件 …

    Linux干货 2016-09-23
  • 【N25第六周作业】VIM、crontab、简单脚本

    请详细总结vim编辑器的使用并完成以下练习题 第二周有写过vim的用法,请查看连接: 周期性任务计划:cron 服务程序: cronie:主程序包,提供了crond守护进程及相关辅助工具; 确保crond守护进程(daemon)处于运行状态: CentOS 7: systemctl  status  cron…

    Linux干货 2016-12-27

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-19 18:05

    图画的很好,画图可以很好的理解知识点,希望可以继续保持