一、TLS链路的通信图
第一阶段:ClientHello:
支持的协议版本,比如tls 1.2;
客户端生成一个随机数,稍后用户生成“会话密钥”
支持的加密算法,比如AES、3DES、RSA;
支持的压缩算法;
第二阶段:ServerHello
确认使用的加密通信协议版本,比如tls 1.2;
服务器端生成一个随机数,稍后用于生成“会话密钥”
确认使用的加密方法;
服务器证书;
第三阶段:
验正服务器证书,在确认无误后取出其公钥;(发证机构、证书完整性、证书持有者、证书有效期、吊销列表)
发送以下信息给服务器端:
一个随机数;
编码变更通知,表示随后的信息都将用双方商定的加密方法和密钥发送;
客户端握手结束通知;
第四阶段:
收到客户端发来的第三个随机数pre-master-key后,计算生成本次会话所有到的“会话密钥”;
向客户端发送如下信息:
编码变更通知,表示随后的信息都将用双方商定的加密方法和密钥发送;
服务端握手结束通知;
二、让浏览器识别自签的证书
Internet Explorer
Internet选项
内容证书路径选项卡
受信任证书颁发机构
导入
三、搭建DNS服务器
bind 的安装
yum -y install bind?
配置主配置文件:/etc/named.conf
options {
listen-on port 53 { 10.120.123.13; }; //定义监听的端口以及监听ip
//listen-on-v6 port 53 { ::1; }; //关闭IPv6 查询
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; };
recursion yes; //允许递归
dnssec-enable no; //关闭DNS安全相关
dnssec-validation no; //关闭DNS安全相关
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging { //日志相关的配置
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN { //定义根区域
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
定义区域解析库文件:/etc/named.rfc1912.zones??
zone "test.com" IN { //定义正向
type master;
file "test.com.zone";
};
zone "123.120.10.in-addr.arpa" IN { //定义反向
type master;
file "10.120.123.zone";
};
创建区域解析库文件:/var/named/test.com.zone?
$TTL 3600
$ORIGIN test.com.
@ IN SOA ns1.test.com. dnsadmin.test.com. (
2019010818
1H
10M
3D
1D )
IN NS ns1
IN NS ns2
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 10.120.123.13
ns2 IN A 10.120.123.250
mx1 IN A 10.120.123.252
mx2 IN A 10.120.123.253
www IN A 10.120.123.254
web IN CNAME www
ops IN NS ns1.ops
ns1.ops IN A 10.120.123.251
创建反向区域解析库文件:/var/named/10.120.123.zone
$TTL 3600
$ORIGIN 123.120.10.in-addr.arpa.
@ IN SOA ns1.test.com. nsadmin.test.com. (
2019010802
1H
10M
3D
12H )
IN NS ns1.test.com.
IN NS ns2.test.com.
13 IN PTR ns1.test.com.
250 IN PTR ns2.test.com.
252 IN PTR mx1.test.com.
253 IN PTR mx2.test.com.
254 IN PTR www.test.com.
修改解析库文件的属组为named,权限改为640
chmod 640 test.com.zone
chmod 640 10.120.123.zone
chown :named test.com.zone
chown :named 10.120.123.zone
检查zone配置文件
named-checkconf?
named-checkzone "test.com" /var/named/test.com.zone
named-checkzone 123.120.10.in-addr.arpa /var/named/10.120.123.zone
防火墙打开TCP UDP 53端口
/etc/sysconfig/iptables
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
开启服务
systemctl restart named.service
四、DNSPOD的解析类型
A记录:地址记录,用来指定域名的IPv4地址(如:8.8.8.8),如果需要将域名指向一个IP地址,就需要添加A记录。
?
CNAME: 如果需要将域名指向另一个域名,再由另一个域名提供ip地址,就需要添加CNAME记录。
?
TXT:在这里可以填写任何东西,长度限制255。绝大多数的TXT记录是用来做SPF记录(反垃圾邮件)。
?
NS:域名服务器记录,如果需要把子域名交给其他DNS服务商解析,就需要添加NS记录。
?
AAAA:用来指定主机名(或域名)对应的IPv6地址(例如:ff06:0:0:0:0:0:0:c3)记录。
?
MX:如果需要设置邮箱,让邮箱能收到邮件,就需要添加MX记录。
?
显性URL:从一个地址301重定向到另一个地址的时候,就需要添加显性URL记录(注:DNSPod目前只支持301重定向)。
?
隐性URL:类似于显性URL,区别在于隐性URL不会改变地址栏中的域名。
?
SRV:记录了哪台计算机提供了哪个服务。格式为:服务的名字、点、协议的类型,例如:_xmpp-server._tcp。
原文地址:https://blog.51cto.com/14074807/2355104
时间: 2024-10-13 06:13:40