1、画出TSL链路的通信图
SSL是安全套接层(Secure Socket Layer)的缩写,而TLS表示传输层安全(Transport Layer Security)的缩写。
上图说明如下:
第一阶段:ClientHello:
支持的协议版本,比如tls 1.2
客户端生成一个随机数,用于稍后生成“会话密钥”
第二阶段:ServerHello
确认使用的加密通信协议版本,比如 tls 1.2
服务器端生成一个随机数,用于稍后生成“会话密钥”
第三阶段:
客户端验证服务器证书(检查发证机构、证书完整性、证书持有者,证书有效期、吊销列表),在确认无误后取出其公钥
发送以下信息给服务器端:
生成第三个随机数(pre-master-key),用公钥加密
编码变更通知,表示随后的信息都将用双方商定的加密方法和密钥发送
客户端握手结束通知
第四阶段:
服务端用自己私钥解密从客户端发来的信息,得到第三个随机数(pre-master-key)后,计算生成本次会话所用到的“会话密钥”
向客户端发送如下信息:
编码变更通知,表示随后的信息都将用双方商定的加密方法和密钥发送
服务端握手结束通知
后续的会话就使用会话密钥进行加密。
2、如何让浏览器识别自签的证书
建立私有CA:
生成私钥;
~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
生成自签证书;
~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
-new:生成新证书签署请求;
-x509:生成自签格式证书,专用于创建私有CA时;
-key:生成请求时用到的私有文件路径;
-out:生成的请求文件路径;如果自签操作将直接生成签署过的证书;
-days:证书的有效时长,单位是day;
为CA提供所需的目录及文件;
~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
~]# touch /etc/pki/CA/{serial,index.txt}
~]# echo 01 > /etc/pki/CA/serial
之后将证书导入到浏览器即可
3、搭建DNS服务器
答:第一步
[root@localhost ~]# vim /etc/named.conf
options {
listen-on port 53 { 192.168.1.88; };
allow-query { any; };
第二步:新增区域信息
[root@localhost ~]# cat /etc/named.rfc1912.zones
zone "assassin.com" IN {
type master;
file "assassin.com.zone";
};
第三步:新增区域文件
[root@localhost ~]# vim /var/named/assassin.com.zone
$TTL 3600
$ORIGIN assassin.com.
@ IN SOA ns1.assassin.com admin.assassin.com.(
2019040701
1H
10M
3D
1D)
IN NS ns1
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 192.168.1.88
www IN A 192.168.1.90
web IN CNAME www
第四步:修改文件权限
[root@localhost ~]#chgrp named /var/named/assassin.com.zone
[root@localhost ~]#chmod o= named /var/named/assassin.com.zone
第五步:检查文件错误,并运行
[root@localhost ~]#named-checkconf
[root@localhost ~]#named-checkzone assassin.com /var/named/assassin.com.zone
[root@localhost ~]#rndc reload
[root@localhost ~]# dig -t A www.assassin.com
; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> -t A www.assassin.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36713
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.assassin.com. IN A
;; ANSWER SECTION:
www.assassin.com. 3600 IN A 192.168.1.90
;; AUTHORITY SECTION:
assassin.com. 3600 IN NS ns1.assassin.com.
;; ADDITIONAL SECTION:
ns1.assassin.com. 3600 IN A 192.168.1.88
;; Query time: 0 msec
;; SERVER: 192.168.1.88#53(192.168.1.88)
;; WHEN: Tue Apr 09 00:39:56 CST 2019
;; MSG SIZE rcvd: 95
4、熟悉DNSPOD的解析类型
答:A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录。
就是说:通过A记录,大家可以设置自己的不同域名转到不同的IP上去!如:
www.dns.la 转到IP 116.255.202.1
web.dns.la 转到IP 116.255.202.11
mail.dns.la 转到IP 116.255.202.111
2、MX记录(Mail Exchange):邮件交换记录
说明:用户可以将该域名下的邮件服务器指向到自己的mail server上,然后即可自行操作控制所有的邮箱设置。
3、CNAME (Canonical Name)记录,通常称别名解析
可以将注册的不同域名都转到一个域名记录上,由这个域名记录统一解析管理,与A记录不同的是,CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址!
4、URL (Uniform Resource Locator )转发:网址转发
功能:如果您没有一台独立的服务器(也就是没有一个独立的IP地址)或者您还有一个域名B,您想访问A域名时访问到B域名的内容,这时您就可以通过URL转发来实现。
url转发可以转发到某一个目录下,甚至某一个文件上。而cname是不可以,这就是url转发和cname的主要区别所在。
5、NS(Name Server)记录是域名服务器记录
用来指定该域名由哪个DNS服务器来进行解析,可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。
6、AAAA记录 IPV6解析记录
