1、创建私有CA并进行证书申请

1 创建CA相关目录和文件

[root@centos8 ~]#mkdir /etc/pki/CA/{certs,crl,newcerts,private}

[root@centos8 ~]#touch /etc/pki/CA/index.txt

[root@centos8 ~]#echo 0F > /etc/pki/CA/serial

2 创建CA的私钥

[root@centos8 ~]#cd /etc/pki/CA/

[root@centos8 CA]#(umask 066;openssl genrsa -out private/cakey.pem 2048)

3 给CA颁发自签名证书

[root@centos8 ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650  -out /etc/pki/CA/cacert.pem 2048

4 用户生成私钥和证书申请

[root@centos8 ~]#mkdir /data/app1

[root@centos8 ~]#cd /data/app1/

#生成私钥文件

[root@centos8 app1]#(umask 066; openssl genrsa -out /data/app1.key 2048)

#生成证书申请文件

[root@centos8 app1]#openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

5 CA颁发证书

[root@centos8 app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

2、总结ssh常用参数、用法

格式：
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常用选项：
-p port 远程服务器监听的端口
-b 指定连接的源IP
-v 调试模式
-C 压缩方式
-X 支持x11转发
-t 强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh
remoteserver3
-o option 如： -o StrictHostKeyChecking=no
-i <file> 指定私钥文件路径，实现基于key验证，默认使用文件：~/.ssh/id_dsa，~/.ssh/id_ecdsa，~/.ssh/id_ed25519，~/.ssh/id_rsa等

范例：远程执行命令

[root@centos8 ~]#ssh 10.0.0.100 hostname -I

范例：在远程主机运行本地 shell脚本

[root@centos8 ~]#ssh 10.0.0.18 /bin/bash <test.sh

生成密钥对

[root@centos8 ~]#ssh-keygen

拷贝公钥

[root@centos8 ~]#ssh-copy-id -i .ssh/id_rsa.pub 10.0.0.7

3、总结sshd服务常用参数

服务器端的配置文件：/etc/ssh/sshd_config
服务器端的配置文件帮助：man 5 sshd_config
常用参数：
Port #生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者，权限等
MaxAuthTries 6 #pecifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value,additional failures are logged. The default is 6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位：秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高ssh连接速度可改为no
GSSAPIAuthentication yes #提高ssh连接速度可改为no
MaxStartups #未认证连接最大值，默认值10
Banner /path/file
以下可以限制可登录用户的办法：
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2

4、搭建dhcp服务，实现ip地址申请分发

[root@centos8 ~]#yum -y install dhcp-server
[root@centos8 ~]#cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf
[root@centos8 ~]#vim /etc/dhcp/dhcpd.conf    #修改subnet
[root@centos8 ~]#systemctl start dhcpd
[root@centos8 ~]#ss -ntul    #67端口已打开
[root@centos8 ~]#vim /etc/dhcp/dhcpd.conf    #修改要分配的地址范围
[root@centos8 ~]#systemctl restart dhcpd