1、详细描述一次加密通讯的过程,结合图示最佳。
SSL协议基础:
SSL协议位于TCP/IP协议与各种应用层协议之间,本身又分为两层:
1)SSL记录协议:建立在可靠传输层协议(TCP)之上,为上层协议提供数据封装、压缩、加密等基本功能。
2)SSL握手协议:在SSL记录协议之上,用于实际数据传输前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议通信过程:
1)浏览器发送一个连接请求给服务器;服务器将自己的证书(包含服务器公钥S_PuKey)、对称加密算法种类及其他相关信息返回客户端。
2)客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是,执行第4步;否则,给客户一个警告信息:询问是否继续访问
3)客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否一致;如果一致,则浏览器完成对服务器的身份认证
4)服务器要求客户端发送客户端证书(包含客户端公钥C_PuKey)、支持的对称加密方案及其他相关信息。收到后,服务器进行相同的身份认证,若没有通过验证,则拒绝连接;
5)服务器根据客户端浏览器发送到密码种类,选择一种加密程度最高的方案,用客户端公钥C_PubKey加密后通知到浏览器;
6)客户端通过私钥C_prKey解密后,得知服务器选择的加密方案,并选择一个通话密钥Key,接着用服务器公钥S_PuKey加密后发送服务器;
7)服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key。
8)接下来的数据传输都使用该对称密钥Key进行加密。
上面所述的是双向认证SSL协议的具体通讯过程,服务器和用户双方必须都有证书。由此可见,SSL协议是通过非对称密钥机制保证双方身份认证,并完成建立连接,在实际数据通信
时通过对称密钥机制保障数据安全性。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
配置文件:/etc/pki/tls/openssl.cnf
1)创建所需要的文件
[[email protected] ~]# cd /etc/pki/CA
[[email protected] CA]# touch index.txt
[[email protected] CA]# echo 01 > serial
2)CA自签证书
[[email protected] CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
[[email protected] CA]# openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
-new:生成新证书签署请求;
-x509:专用于CA生成自签证书;
-key:生成请求时用到的私钥文件;
-days n:证书的有效期限;
-out /PATH/TO/SOMECERTFILE:证书的保存路径
3)发证
(a)客户端生成证书请求
[[email protected] ~]# mkdir /etc/httpd/ssl
[[email protected] ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
[[email protected] ~]# cd /etc/httpd/ssl/
[[email protected] ssl]# openssl req -new -key httpd.key -days 365 -out httpd.csr
(b)把请求文件传输给CA
[[email protected] ssl]# scp httpd.csr 192.168.1.61:/tmp/
(c)CA签署证书,并将证书发还给请求者
[[email protected] CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
[[email protected] CA]# scp /etc/pki/CA/certs/httpd.crt 192.168.1.62:/etc/httpd/ssl/
3、描述DNS查询过程以及DNS服务器类别。
DNS查询过程:
1)浏览器缓存
当用户通过浏览器访问某域名时,浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址(若曾经访问过该域名且没有清空缓存便存在)
2)系统缓存
当浏览器缓存中无域名对应IP则会自动检查用户计算机系统中hosts(linux:/etc/hosts,Windows: C:\Windows\System32\drivers\etc\hosts)文件中是否有该域名对应的IP
3)路由器缓存
当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查,以下三步均为客户端的DNS缓存
4)ISP(互联网服务提供商)DNS缓存
当在客户端查找不到域名对应IP地址,则将进入ISP DNS缓存中进行查询。如果用的是电信网络,则会进入电信的DNS缓存服务器中进行查找。
5)根域名服务器
如果以上均为完成,则进入根服务器进行查询。全球13台根域名服务器,1个主根服务器,12个辅根域名服务器。根域名收到请求后会查询区域文件记录,若无则将其管辖范围内的顶级域名(.com)服务器IP地址告诉本地DNS服务器;
6)顶级域名服务器
顶级域名服务器收到请求后查看区域文件记录,或无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器;
7)二级域名服务器
主域名服务器接受到请求后查询自己的缓存,如果没有则进入下一级域名服务器进行查询,重复该步骤直到找到正确刻录;
8)保存结果至缓存
本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时将该结果反馈给客户端,客户端通过这个IP地址与web服务器建立链接。
DNS服务器类别:
1)主DNS服务器:维护所负责解析的域内解析库服务器;解析库由本地管理员管理维护。
2)辅助DNS服务器:从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库。
3)缓存DNS服务器:
可运行域名服务器软件但没有域名数据库。它从某个远程服务器取得每次域名服务器的查询回答,一旦获取一个答案,就将它放在高速缓存中,以后查询相同信息时就用它予以回答。缓存域名服务器不是权威性服务器,因为提供的所有信息都是间接信息。
4)转发器:
负责所有非本地域名的本地查询。转发域名服务器接到查询请求时,在其缓存中查找,如果找不到就把请求依次转发到指定的域名服务器,直到查询到结果为止,否则返回无法查找到结果。
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
[[email protected] ~]# yum -y install bind
常用的配置文件有:
/etc/named.conf #主配置文件
/etc/named.rfc1912.zones #区域配置文件
/etc/rc.d/init.d/named #启动脚本
/var/named #存放区域数据文件
[[email protected] ~]# vim /etc/named.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
// dnssec-enable yes;
// dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
listen-on port 53 { any; }; 表示监听本地IP的53端口,允许所用地址访问本地53端口
allow-query { any; }; 允许所有地址查询
recursion yes; 是否递归,如果是no那么这台DNS服务器将不会递归解析,yes或注释掉不写,表是允许,默认是允许的
include "/etc/named.rfc1912.zones"; 加载区域配置文件
正向和反向区域解析
[[email protected] ~]# vim /etc/named.rfc1912.zones
在配置文件的末尾添加正向和反向配置
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
allow-transfer { 192.168.1.65; };
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
allow-transfer { 192.168.1.65; };
};
allow-transfer { 192.168.1.65; };表示只允许192.168.1.65这个主机同步数据,也就是作它的辅助DNS,多个IP用“;”隔开;
编辑正向解析的zone文件
[[email protected] ~]# vim /var/named/magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@ IN SOA ns1.magedu.com. admin.magedu.com. (
2016092101
1H
5M
7D
1D )
IN NS ns1
IN NS ns2
IN MX 10 mx1
IN MX 20 mx2
IN A 192.168.1.64
ns1 IN A 192.168.1.64
ns2 IN A 192.168.1.65
mx1 IN A 192.168.1.66
mx2 IN A 192.168.1.67
www IN A 192.168.1.64
www IN A 192.168.1.65
ftp IN CNAME www
反向解析zone文件
[[email protected] ~]# vim /var/named/1.168.192.zone
$TTL 86400
$ORIGIN 1.168.192.in-addr.arpa.
@ IN SOA ns1.magedu.com. admin.magedu.com. (
2016092101
1H
5M
7D
1D )
IN NS ns1.magedu.com.
IN NS ns2.magedu.com.
64 IN PTR ns1.magedu.com.
65 IN PTR ns2.magedu.com.
66 IN PTR mx1.magedu.com.
67 IN PTR mx2.magedu.com.
64 IN PTR www.magedu.com.
65 IN PTR www.magedu.com.
[[email protected] ~]# service named start
正向解析:
[[email protected] ~]# dig @192.168.1.64 www.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.61 www.magedu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54957
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.magedu.com. IN A
;; ANSWER SECTION:
www.magedu.com. 86400 IN A 192.168.1.64
www.magedu.com. 86400 IN A 192.168.1.65
;; AUTHORITY SECTION:
magedu.com. 86400 IN NS ns1.magedu.com.
magedu.com. 86400 IN NS ns2.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com. 86400 IN A 192.168.1.64
ns2.magedu.com. 86400 IN A 192.168.1.65
;; Query time: 0 msec
;; SERVER: 192.168.1.61#53(192.168.1.64)
;; WHEN: Mon Sep 26 21:15:11 2016
;; MSG SIZE rcvd: 132
反向解析
[[email protected] ~]# dig -x 192.168.1.64 @192.168.1.64
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -x 192.168.1.64
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23623
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;64.1.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
64.1.168.192.in-addr.arpa. 86400 IN PTR ns1.magedu.com.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS ns2.magedu.com.
1.168.192.in-addr.arpa. 86400 IN NS ns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com. 86400 IN A 192.168.1.64
ns2.magedu.com. 86400 IN A 192.168.1.65
;; Query time: 0 msec
;; SERVER: 192.168.1.64#53(192.168.1.64)
;; WHEN: Wed Sep 21 21:56:14 2016
;; MSG SIZE rcvd: 135
配置主从同步
[[email protected] ~]# vim /etc/named.rfc1912.zones
在末尾添加
zone "magedu.com" IN {
type slave;
masters { 192.168.1.64; };
file "slaves/magedu.com.zone";
allow-transfer { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.1.64; };
file "slaves/1.168.192.zone";
allow-transfer { none; };
};
批定type类型为slave,并指定主服务器为192.168.1.64
[[email protected] ~]# service named start
服务启动后,会在/var/named/slaves/自动添加magedu.com.zone和1.168.192.zone文件
[[email protected] ~]# ll /var/named/slaves/
总用量 8
-rw-r--r-- 1 named named 436 9月 26 22:13 1.168.192.zone
-rw-r--r-- 1 named named 502 9月 26 22:13 magedu.com.zone
子域授权
新增一台IP为192.168.1.61的服务器为子域
在父域的区域文件中添加NS和A记录
[[email protected] ~]# vim /var/named/magedu.com.zone
添加
cdn IN NS ns1.cdn.magedu.com.
ns1.cdn IN A 192.168.1.61
[[email protected] ~]# yum -y install bind
[[email protected] ~]# scp 192.168.1.64:/etc/named.conf /etc/
[[email protected] ~]# vim /etc/named.rfc1912.zones
在末尾添加
zone "cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone";
};
zone "magedu.com" IN {
type forward;
forward only;
forwarders { 192.168.1.64; };
};
[[email protected] ~]# vim /var/named/cdn.magedu.com.zone
$TTL 86400
@ IN SOA ns.cdn.magedu.com. admin.cdn.magedu.com. (
2016092201
2H
5M
7D
12H )
IN NS ns.cdn.magedu.com.
IN MX 10 mx1.cdn.magedu.com.
IN A 192.168.1.61
ns IN A 192.168.1.61
mx1 IN A 192.168.1.61
www IN A 192.168.1.61
测试
1)子域测试
[[email protected] ~]# dig @192.168.1.61 www.cdn.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.65 www.cdn.magedu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33720
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;www.cdn.magedu.com. IN A
;; ANSWER SECTION:
www.cdn.magedu.com. 86400 IN A 192.168.1.61
;; AUTHORITY SECTION:
cdn.magedu.com. 86400 IN NS ns.cdn.magedu.com.
;; ADDITIONAL SECTION:
ns.cdn.magedu.com. 86400 IN A 192.168.1.61
;; Query time: 0 msec
;; SERVER: 192.168.1.65#53(192.168.1.61)
;; WHEN: Mon Sep 26 22:16:44 2016
;; MSG SIZE rcvd: 85
2)父域测试
[[email protected] ~]# dig -t www.magedu.com
;; Warning, ignoring invalid type www.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -t www.magedu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27354
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 518239 IN NS b.root-servers.net.
. 518239 IN NS i.root-servers.net.
. 518239 IN NS j.root-servers.net.
. 518239 IN NS k.root-servers.net.
. 518239 IN NS l.root-servers.net.
. 518239 IN NS e.root-servers.net.
. 518239 IN NS h.root-servers.net.
. 518239 IN NS f.root-servers.net.
. 518239 IN NS c.root-servers.net.
. 518239 IN NS m.root-servers.net.
. 518239 IN NS d.root-servers.net.
. 518239 IN NS a.root-servers.net.
. 518239 IN NS g.root-servers.net.
;; Query time: 0 msec
;; SERVER: 192.168.1.61 #53(192.168.1.65)
;; WHEN: Mon Sep 26 22:18:26 2016
;; MSG SIZE rcvd: 228