一、TLS链路的通信图

            第一阶段：ClientHello：支持的协议版本，比如tls 1.2；客户端生成一个随机数，稍后用户生成“会话密钥”支持的加密算法，比如AES、3DES、RSA；支持的压缩算法；第二阶段：ServerHello确认使用的加密通信协议版本，比如tls 1.2；服务器端生成一个随机数，稍后用于生成“会话密钥”确认使用的加密方法；服务器证书；第三阶段：验正服务器证书，在确认无误后取出其公钥；（发证机构、证书完整性、证书持有者、证书有效期、吊销列表）               发送以下信息给服务器端：一个随机数；编码变更通知，表示随后的信息都将用双方商定的加密方法和密钥发送；客户端握手结束通知；第四阶段：收到客户端发来的第三个随机数pre-master-key后，计算生成本次会话所有到的“会话密钥”；向客户端发送如下信息：编码变更通知，表示随后的信息都将用双方商定的加密方法和密钥发送；服务端握手结束通知；

二、让浏览器识别自签的证书

Internet Explorer
Internet选项
内容证书路径选项卡
受信任证书颁发机构
导入

三、搭建DNS服务器

bind 的安装

yum -y install bind 

配置主配置文件：/etc/named.conf

options {listen-on port 53 { 10.120.123.13; };  //定义监听的端口以及监听ip//listen-on-v6 port 53 { ::1; };      //关闭IPv6 查询directory       "/var/named";dump-file       "/var/named/data/cache_dump.db";statistics-file "/var/named/data/named_stats.txt";memstatistics-file "/var/named/data/named_mem_stats.txt";recursing-file  "/var/named/data/named.recursing";secroots-file   "/var/named/data/named.secroots";allow-query     { any; };recursion yes;  //允许递归dnssec-enable no;  //关闭DNS安全相关dnssec-validation no;  //关闭DNS安全相关bindkeys-file "/etc/named.iscdlv.key";managed-keys-directory "/var/named/dynamic";pid-file "/run/named/named.pid";session-keyfile "/run/named/session.key";
};logging {                             //日志相关的配置channel default_debug {file "data/named.run";severity dynamic;};
};zone "." IN {                        //定义根区域type hint;file "named.ca";
};include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

定义区域解析库文件:/etc/named.rfc1912.zones  

zone "test.com" IN {   //定义正向type master;file "test.com.zone";
};zone "123.120.10.in-addr.arpa" IN {   //定义反向type master;file "10.120.123.zone";
};

创建区域解析库文件：/var/named/test.com.zone 

$TTL 3600
$ORIGIN test.com.
@       IN      SOA     ns1.test.com.   dnsadmin.test.com. (20190108181H10M3D1D )IN      NS      ns1IN      NS      ns2IN      MX   10 mx1IN      MX   20 mx2
ns1     IN      A       10.120.123.13
ns2     IN      A       10.120.123.250
mx1     IN      A       10.120.123.252
mx2     IN      A       10.120.123.253
www     IN      A       10.120.123.254
web     IN      CNAME   www
ops     IN      NS      ns1.ops
ns1.ops IN      A       10.120.123.251

创建反向区域解析库文件：/var/named/10.120.123.zone

$TTL 3600
$ORIGIN 123.120.10.in-addr.arpa.
@       IN      SOA     ns1.test.com.  nsadmin.test.com. (20190108021H10M3D12H )IN      NS      ns1.test.com.IN      NS      ns2.test.com.
13      IN      PTR     ns1.test.com.
250     IN      PTR     ns2.test.com.
252     IN      PTR     mx1.test.com.
253     IN      PTR     mx2.test.com.
254     IN      PTR     www.test.com.

修改解析库文件的属组为named，权限改为640

chmod 640 test.com.zone
chmod 640 10.120.123.zone
chown :named test.com.zone
chown :named 10.120.123.zone

检查zone配置文件

named-checkconf named-checkzone "test.com" /var/named/test.com.zone
named-checkzone 123.120.10.in-addr.arpa /var/named/10.120.123.zone 

防火墙打开TCP UDP 53端口

/etc/sysconfig/iptables
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT

开启服务

systemctl restart  named.service

四、DNSPOD的解析类型

A记录：地址记录，用来指定域名的IPv4地址（如：8.8.8.8），如果需要将域名指向一个IP地址，就需要添加A记录。
 
CNAME： 如果需要将域名指向另一个域名，再由另一个域名提供ip地址，就需要添加CNAME记录。
 
TXT：在这里可以填写任何东西，长度限制255。绝大多数的TXT记录是用来做SPF记录（反垃圾邮件）。
 
NS：域名服务器记录，如果需要把子域名交给其他DNS服务商解析，就需要添加NS记录。
 
AAAA：用来指定主机名（或域名）对应的IPv6地址（例如：ff06:0:0:0:0:0:0:c3）记录。
 
MX：如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。
 
显性URL：从一个地址301重定向到另一个地址的时候，就需要添加显性URL记录（注：DNSPod目前只支持301重定向）。
 
隐性URL：类似于显性URL，区别在于隐性URL不会改变地址栏中的域名。
 
SRV：记录了哪台计算机提供了哪个服务。格式为：服务的名字、点、协议的类型，例如：_xmpp-server._tcp。