1、描述TSL链路的通信图

第一阶段:client hello1:向服务端发送支持的协议版本,比如 tls1.22:客户端生成一个随机数,稍后用户生成“会话秘钥”3:发送支持的加密算法,比如 AES,RSA 4:支持的压缩算法第二阶段:server hello 1:确认使用的加密的通信协议版本,比如 tls1.2 2:服务器端生成一个随机数,稍后用于生成”会话秘钥“3:确认使用的加密方法4:发送服务器证书第三阶段:1:客户端验证服务器证书,在确认无误后取出其公钥,验证(发证机构,完整性,证书持有者,证书有效期,吊销列表)2:发送一下信息给服务器;a:发送一个随机数b:编码变更通知,表示随后的信息都将用双方商定的加密方法和秘钥发送c:客户端握手结束通知第四阶段:1:收到客户端发来的第三个随机数pre-master-key后,计算生成本次会话所有的“会话秘钥“2:向客户端发送如下信息:a:编码变更通知,表示随后的信息都将用双方商定的加密方法和秘钥发送b:服务器端握手结束通知

2、如何创建自签的证书

 在确定配置为CA的服务器上生成一个自签证书,并为CA提供所有需要的目录及文件即可步骤:(1)生成私钥:[root@ca ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) umask 077:创建的密码文件权限为 -rw-------  openssl genrsa:生产秘钥-out:放在指定路径4096:秘钥长度 (2)生成自签证书:[root@ca ~]# openssl  req -new -x509  -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365-new:生成新证书签署请求-509:生成自签格式证书,创建私有CA时使用-key:生成请求时用到的私有文件路径-out:生成的请求的文件路径,如果自签操作将直接生成签署过的证书-days:证书的有效时长,单位是天


 (3)为CA提供所需的目录及文件:[root@ca ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}[root@ca ~]# touch /etc/pki/CA/{serial,index.txt} serial:序列号index.txt:数据库[root@ca ~]#echo 01> /etc/pki/CA/serial01:表示序列号

接下来以httpd服务为例:

 (1)在httpd服务器生成私钥:[root@server ~]# mkdir /etc/httpd/ssl [root@server ~]# cd /etc/httpd/ssl [root@server ssl]# (umask 077;openssl genrsa -out httpd.key 2048)(2)生成证书签署请求:    [root@server ssl]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365  #这里填的信息要和前面证书的信息一致(3)将请求发送给CA主机:[root@server ssl]# scp /etc/httpd/httpd.csr root@192.168.1.120:/tmp/ (4)在CA主机上签署证书: [root@ca ~]# openssl ca -in /tmp/httpd.csr  -out /etc/pki/CA/certs/httpd.crt -days 365(5)将签署好的证书发送给httpd服务器:[root@ca ~]# scp /etc/pki/CA/certs/httpd.crt root@192.168.1.110:/etc/httpd/ssl/           (6)查看证书的信息:[root@server ~]# openssl x509 -in /etc/httpd/ssl/httpd.crt -noout -serial -subject

吊销证书:

 步骤: (1)客户端获取要吊销的证书serial(在使用证书的主机上面执行)~]# openssl x509 -in /etc/httpd/ssl/httpd.crt -noout -serial -subject(2)CA主机吊销证书:先根据客户端提交的serial和subject信息,对比信息与本机数据库index.txt中存储的信息是够一致            吊销:~]# openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem 注意:其中的SERIAL.pem要换成证书的真正的序列号(3)生成吊销证书的吊销编号(第一次吊销证书是执行)~]# echo 01 > /etc/pki/CA/crlnumber(4)更新证书吊销列表:~]# openssl ca -gencrl -out thisca.crl (5)查看crl文件:~]# openssl crl -in /path/form/car_file.crl

3、搭建DNS服务器基于centos7

 1.下载DNS服务:yum  -y install bind bind-utils 2.修改本机DNS地址:vim /etc/resolv.conf注意:永久生效需要配置网卡配置文件。


 3.启动DNS服务:systemctl start named 4.测试:ping baidu.com


配置解析一个正向区域:(主要记录为 A ,AAAA)(1)定义区域:  vim/etc/named.rfc1912.zones  #新增一个区域        配置格式:zone "ZONE_NAME" IN {type master;   #(master|slave|hint|forword)=(主服务器|从服务器|根服务器|转发服务器)file "ZONE_NAME.zone";};修改配置文件:vim /etc/named.conflisten-on port 53 { 192.168.30.137; }; #这里填本机ip,或者"any"表示所有主机//allow-query     { localhost; };  #禁止只允许本机解析,或者"any"表示允许所有主机解析(2)建立区域数据文件:在/var/named/目录下建立区域数据文件     [root@master ~]# vim /var/named/like.com.zone      $TTL 3600$ORIGIN like.com.@       IN      SOA     ns1.like.com.   dnsadmin.like.com. (2019071702 ;序列号1H  ;刷新时间10M  ;重试时间3D  ;过期时间1D ) ;否定答案的TTL值IN      NS      ns1 IN      MX  10  mx1 ns1     IN      A       192.168.30.137mx1     IN      A       192.168.30.140www     IN      A       192.168.30.137web     IN      CNAME   www bbs     IN      A       192.168.30.142bbs     IN      A       192.168.30.143[root@master ~]# chown :named /var/named/like.com.zone  #修改属组 [root@master ~]# chmod 640 /var/named/like.com.zone  #修改文件权限[root@master ~]# named-checkzone  like.com /var/named/like.com.zone #检查区域文件  [root@master ~]# named-checkconf #检查配置文件(3)让服务器重载配置文件和区域数据文件~]# rndc status  :查看状态~]# rndc reload  :重载


 (4)测试:dig -t A www.like.com -t:指定类型A:表示A记录测试CNAME:dig -t A web.like.com

(2).配置一个反向解析区域:

1.在区域配置文件新增一个反向解析区域:~]#vim /etc/named.rfc1912.zones zone "30.168.192.in-addr.arpa" IN {type master;file "192.168.30.zone";};注意:反写区域的名字"网段"2.定义区域解析库文件(主要记录为PTR)$TTL 3600$ORIGIN 30.168.192.in-addr.arpa.@       IN      SOA     ns1.like.com.   dnsadmin.like.com. (20190722011H5M1D5H )IN      NS      ns1.like.com.137     IN      PTR     ns1.like.com.138     IN      PTR     mx1.like.com.139     IN      PTR     www.like.com[root@master ~]# chown :named /var/named/192168.30.zone  #修改属组 [root@master ~]# chmod 640 /var/named/192168.30.zone   #修改文件权限[root@master ~]# named-checkzone   30.168.192.in-addr.arpa   /var/named/192168.30.zone #检查区域文件  [root@master ~]# named-checkconf #检查配置文件4.让服务器重载配置文件和区域数据文件[root@master ~]#rndc reload  #重载  测试: dig -x 192.168.30.137

4、熟悉DNSPOD的解析类型

1、A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录。
就是说:通过A记录,大家可以设置自己的不同域名转到不同的IP上去 www.test.com 转到IP 192.168.1.11web.test.com 转到IP 192.168.1.12mail.test.com 转到IP 192.168.1.132、MX记录(Mail Exchange):邮件交换记录功能:用户可以将该域名下的邮件服务器指向到自己的mail server上,然后即可自行操作控制所有的邮箱设置。3、CNAME (Canonical Name)记录,通常称别名解析功能:可以将注册的不同域名都转到一个域名记录上,由这个域名记录统一解析管理,与A记录不同的是,CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址!4、URL (Uniform Resource Locator )转发:网址转发功能:如果您没有一台独立的服务器(也就是没有一个独立的IP地址)或者您还有一个域名B,您想访问A域名时访问到B域名的内容,这时您就可以通过URL转发来实现。
url转发可以转发到某一个目录下,甚至某一个文件上。而cname是不可以,这就是url转发和cname的主要区别所在。5、NS(Name Server)记录是域名服务器记录
功能:用来指定该域名由哪个DNS服务器来进行解析,可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。6、AAAA记录 IPV6解析记录

centos7搭建DNS服务,CA字签证书相关推荐

  1. centos7搭建DNS服务(use)

    参考:centos7搭建DNS服务完整版 CentOS 7 配置DNS服务 Centos7 DNS 服务器配置步骤 --use DNS服务类型 主机记录 记录类型 记录值 ns1 A 192.168. ...

  2. centos7下dns服务搭建

    centos7下dns服务搭建 第一步 环境准备 第二步 修改dns配置文件并启动dns 第三步 配置文件详解(摘抄) 第四步 测试dns服务 第一步 环境准备 1.配置网络 vi /etc/sysc ...

  3. Centos7搭建DNS(bind)服务器,配置域名泛解析记录

    Centos7搭建DNS并配置域名泛解析记录 1.前言和环境准备 1.1. 环境准备 1.2. Nginx环境搭建 2.DNS环境搭建---bind模块 3.配置域名泛解析 4.域名检验 1.前言和环 ...

  4. 搭建DNS服务,正向解析域名

    搭建DNS服务,实现正向解析功能;根据域名查询ip地址,即将指定的域名解析成相对应的ip,域名的正向解析是DNS服务器最基本的功能. 配置文件: 主配置文件:作用于服务器本身/etc/named.co ...

  5. 搭建DNS服务,正向解析和反向解析搭建DNS服务器

    搭建DNS服务器 DNS系统在网络中的作用:维护着一个地址数据库,其中记录了各种主机域名与IP地址的对于关系,以方便为客户程序提供正向或反向的地址查询服务,即正向解析与方向解析. 正向解析:将指定的域 ...

  6. CentOS7搭建DNS服务器

    安装 配置DNS服务所相关的一些软件 搭建DNS高速缓存服务器 配置反向解析 搭建从DNS服务器 DNS的详细介绍 配置DNS服务所相关的一些软件 bind-9.9.4-37.el7.x86_64.r ...

  7. Centos7 搭建DNS服务器与原理配置详解

    在搭建我们自己DNS服务器之前,先必须了解下DNS服务器的作用和原理. DNS是在互联网上进行域名解析到对应IP地址的服务器,保存互联网上所有的IP与域名的对应信息,然后将我们对网址的访问,解析成IP ...

  8. centos7搭建DNS服务器的详细过程总结

    首先安装:yum install bind bind-chroot bind-utils -y 打开服务:systemctl start named 设置开机自动开启:systemctl enable ...

  9. CentOS基础系列六 :搭建DNS服务(详细图解)

    一.DNS服务介绍 DNS(Domain Name Server,域名服务器)是为了便于访问Internet而采用的一种分布式的域名→IP地址的映射查询和管理方法.用户在不知道主机IP地址而只知道主机 ...

最新文章

  1. 布道微服务_07服务调用追踪
  2. ubuntu 将 python 设定为python3, pip设定为pip3
  3. 企业系统门户需要哪些模块_灵活用工平台SAAS系统有哪些功能模块
  4. rust油桶用什么打_草莓用什么膨大素好?草莓膨大剂什么时间打?草莓用什么肥料膨大...
  5. jvm gc阻塞时长 占比_jvm进行转义分析需要多长时间? 可能比您想象的要长。
  6. SPOJ COT Count on a tree 主席树
  7. xtrabackup-增量备份
  8. lora发射和接收原理_LoRa 的扩频技术
  9. vue多语言插件vue-i18n
  10. Activity与Service之间交互并播放歌曲
  11. Linux上创建SSH隧道
  12. spring实战笔记6---springMVC的请求过程
  13. 将pdf文件缩到最小的小技巧
  14. 离线检查未安装的Windows更新
  15. 4年产品点滴心路——谈谈形而上的3个产品素质
  16. 苹果支付验单java
  17. 常用颜色透明度色值表
  18. 计算机关机时出现蓝屏,关机蓝屏,教您电脑关机蓝屏怎么解决
  19. java jnlp 运行_JNLP文件如何能成功安装运行?
  20. 利用鸿蒙开发新闻头条

热门文章

  1. Valgrind 内存管理工具Memcheck 基本使用
  2. OpenWrt 4G网卡拨号配置
  3. 从零开始搭建SpringBoot的Demo
  4. 信号量 - linux内核锁(三)
  5. 工业智能网关BL110应用之45:实现欧姆龙 PLC CJ/CS/CP 接入华为云平台
  6. 批量处理更香啊,Python 可轻松制作图文并茂的 PDF 报告
  7. MATLAB读RGB888数据显示图片
  8. IT真的不如卖爆米花的?
  9. 一文搞懂秒杀系统,欢迎参与开源,提交PR,提高竞争力。早日上岸,升职加薪。
  10. ncr管理系统_【拆解】米家骑记电助力折叠自行车,看看里面的电子方案