一、创建私有CA并进行证书申请。
1)创建CA所需要的文件:
先创建总目录: # mkdir -p /etc/pki/CA/{certs,crl,newcerts,private}
创建证书索引数据库文件: #touch /etc/pki/CA/index.txt
指定第一个颁发证书的序列号:#echo 01 > /etc/pki/CA/serial
2)生成CA私钥
3)生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
4)为需要使用证书的主机生成生成私钥
5)为需要使用证书的主机生成证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
6)在CA签署证书并将证书颁发给请求者
openssl ca -in /data/test.csr -out /etc/pki/CA/certs/test.crt -days 1000
7)查看证书中的信息:
openssl x509 -in /etc/pki/CA/certs/test.cr -noout -text -subject -serial
8)将证书相关文件发送到用户端使
二、总结ssh常用参数、用法
格式:
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常见选项
-p port #远程服务器监听的端口
-b #指定连接的源IP
-v #调试模式
-C #压缩方式
-X #支持x11转发
-t #强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3 逐一跳转连接至左后一个端口
-o option 如:-o StrictHostKeyChecking=no
-i <file> #指定私钥文件路径,实现基于key验证,默认使用文件:~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等
三、总结sshd服务常用参数。
Port #生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者,权限等
MaxAuthTries 6 #pecifies the maximum number of authentication
attempts permitted per connection. Once the number of failures reaches half this
value, additional failures are logged. The default is 6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高速度可改为no
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups #未认证连接最大值,默认值10
Banner /path/file
#以下可以限制可登录用户的办法:
AllowUsers user1 user2 user3 #白名单
DenyUsers user1 user2 user3 #黑名单
AllowGroups g1 g2 #白名单组
DenyGroups g1 g2 #黑名单组
四、搭建dhcp服务,实现ip地址申请分发
1)安装软件包
centos8版本:# yum -y install dhcp-server
2)复制范例配置文件覆盖空白配置文件;然后修改配置
vim /etc/dhcp/dhcpd.conf
3)启动服务
# systemctl start dhcpd
查看分配出去的地址详细信息
