第十一周

1、详细描述一次加密通讯的过程，结合图示最佳。

2、描述创建私有CA的过程，以及为客户端发来的证书请求进行办法证书。

CA 服务器端：
 （1）生成 CA 服务器的私钥
     (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
  (2)生成 CA服务器自谦证书
     openssl req -new x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 
  (3)CA目录下生成相应文件
     touch /etc/pki/CA/{serial,index.txt}
     echo 01 > /etc/pki/CA/serial

  请求客户端：
  （1)mkdir /etc/httpd/ssl
   (2)生成私钥
       (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 1024)
   (3)生成请求
        openssl req -new -key /etc/httpd/ssl/httpd.key -out /tmp/httpd.csr
      按照提示完成信息的填写
   (4) 将 httpd.csr 交至服务器端

   CA服务器端签发：
  （1）openssl ca  -in /path/to/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
   (2) 查看证书 
       openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -subject -serial

3、描述DNS查询过程以及DNS服务器类别。

DNS服务器分为解析服务器和缓存服务器。

4、搭建一套DNS服务器，负责解析magedu.com域名（自行设定主机名及IP） (1)、能够对一些主机名进行正向解析和逆向解析； (2)、对子域cdn.magedu.com进行子域授权，子域负责解析对应子域中的主机名； (3)、为了保证DNS服务系统的高可用性，请设计一套方案，并写出详细的实施过程

配置/etc/named.conf:

options {
        listen-on port 53 { 192.168.1.106; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-transfer { 192.168.1.106; };
//      allow-query     { localhost; 192.168.1.108; };
检查配置文件
named-checkconf

在/etc/named.rfc1912.zones 添加解析域

zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};

zone "1.168.192.in-addr.arpa" IN {
        type master;
        file "1.168.192.in-addr.arpa.zone";
};

建立解析文件库 /var/named/magedu.com.zone


$TTL 3600
$ORIGIN magedu.com.
@      IN   SOA magedu.com. admin.magedu.com. (
                201703298 ; serial
                1H      ; retry
                2H      ; refresh
                3D      ; expired
                1D      ; TTL 
 )
       IN  NS  ns1
       IN  NS  ns2
       IN  NS  ns3
ns1   IN  A 192.168.1.101
ns2   IN  A 192.168.1.103
ns3   IN  A 192.168.1.102
web   IN  CNAME www
www   IN  A  192.168.1.104
cdn   IN  NS  ns4.cdn
ns4.cdn IN A 192.168.1.108 子域记录
~                                                                                                                                                                                                                               
修改文件属性
chgrp named magedu.com.zone 
chmod o=    magedu.com.zone
[root@www named]# ll
total 24
-rw-r-----. 1 root  named  344 Mar 30 11:26 1.168.192.in-addr.arpa.zone
drwxrwx---. 2 named named   22 Mar 29 14:58 data
drwxrwx---. 2 named named   30 Mar 29 15:33 dynamic
-rw-r-----. 1 root  named  436 Mar 30 12:01 magedu.com.zone
-rw-r-----. 1 root  named 2076 Jan 28  2013 named.ca
-rw-r-----. 1 root  named  152 Dec 15  2009 named.empty
-rw-r-----. 1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----. 1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---. 2 named named    6 Feb 15 21:16 slaves


检查配置文件
 named-checkzone magedu.com  ./magedu.com.zone
 重载
 rndc reload

 子域文件库配置：
 zone "cdn.magedu.com" IN {
    type master;
    file "cdn.magedu.com.zone";

    };


zone "magedu.com" IN {    转发配置
          type forward;
          forward  only;
          forwarders  { 192.168.1.106; };
   }:
从服务器配置：

zone "magedu.com" IN  {
        type slave;
        file "slaves/magedu.com";
        masters { 192.168.1.106; } ;
};

无论是子域配置还是从服务器配置，主 DNS解析库文件必须有该子域或从服务器的A记录。