N21沉舟11周作業

1、詳細描述一次加密通訊的過程，結合圖示最佳。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

一、CA服務器端

#進入CA目錄：
cd    /etc/pki/CA

#創建初始文件
touch index.txt serial
echo 01 > serial

#生成根密碼
umask 077; openssl  genrsa -out /etc/pki/CA/private/cakey.pem 2048
#生成自簽證書
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

二、證書請求端（以httpd為例）

#生成密鑰
umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048
#生成證書請求文件
openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

#復制請求文件至CA服務器
scp /etc/httpd/ssl/httpd.csr 192.168.50.178:/tmp/httpd.csr
#debian中使用
scp httpd.csr aa@192.168.50.129:/tmp/

三、CA端根據請求文件生成證書

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt

3、描述DNS查詢過程以及DNS服務器類別。

DNS服務器類型：
1、主DNS服務器：維護所負責解析的域內解析庫服務器，解析庫由管理維護；
2、從DNS服務器：從主DNS服務器或其它的從DNS服務器那里區域傳輸一份解析庫；
3、緩存DNS服務器：為客戶端緩存客戶端曾經查詢的記錄，找不到時，DNS服務器去迭代查詢；
4、轉發器：當請求的DNS記錄不在自己所負責的解析區域時，交給轉發器處理，轉發器去迭代查詢。

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

(1)、能夠對一些主機名進行正向解析和逆向解析；

(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

(3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

 一、配置正向解析

a、安裝bind程序包: yum install bind
b、編輯bind主配置文件, /etc/namec.conf, 
.options {
//      listen-on port 53 { 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
};
c、修改/etc/named.rfc1912.zones, 添 加以下內容 
    zone "magedu.com" IN {
    type master;
    file "magedu.com.zone";
};
d、新建區域配置文件/var/named/magedu.com/zone, 并修改屬組為named, 文件內容 為：
$TTL 1D
@ IN SOA magedu.com. admin.magedu.com. (
     160901
        1D
        20M
        1W
        2D
)
magedu.com.     IN      NS      ns1.magedu.com.
magedu.com.     IN      NS      ns2.magedu.com.
www.magedu.com. IN      A 192.168.50.200
ns1.magedu.com. IN      A 192.168.50.200
ns2.magedu.com. IN      A 192.168.50.201
e、檢查主配置文件和區域配置文件
named-checkconf
]# named-checkzone magedu.com magedu.com.zone
zone magedu.com/IN: loaded serial 160901
OK
f、使用dig工具測試域名解析結果]# dig -t A NS2.magedu.com @192.168.50.201
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> -t A NS2.magedu.com @192.168.50.201
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1370
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; QUESTION SECTION:
;NS2.magedu.com.INA
;; ANSWER SECTION:
NS2.magedu.com.48600INA192.168.50.201
;; AUTHORITY SECTION:
magedu.com.48600INNSNS2.magedu.com.
magedu.com.48600INNSns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.48600INA192.168.50.200
;; Query time: 0 msec
;; SERVER: 192.168.50.201#53(192.168.50.201)
;; WHEN: Mon Jul 18 21:35:58 2016
;; MSG SIZE  rcvd: 96

二、配置反向解析

a、在主配置文件/etc/name.rfc1912.zone中添加區域
   zone "50.168.192.in-addr.arpa" IN {
        type master;
        file "mage-arpa.zone";
};
b、在/var/named 中新建mage-arpa.zone區域解析文件
$TTL 86400
@ 86400 IN SOA ns1.magedu.com. admin.magedu.com. (
        1609001
        1H
        5M
        7D
        1D
)
        IN      NS      ns1.magedu.com.
        IN      NS      ns2.magedu.com.
200     IN      PTR     ns1.magedu.com.
201     IN      PTR     ns2.magedu.com.
200     IN      PTR     www.magedu.com.
c、重載配置文件后，測試反向解析
]# dig -x 192.168.50.201 @192.168.50.201
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> -x 192.168.50.201 @192.168.50.201
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3468
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;201.50.168.192.in-addr.arpa.INPTR
;; ANSWER SECTION:
201.50.168.192.in-addr.arpa. 86400 INPTRns2.magedu.com.
;; AUTHORITY SECTION:
50.168.192.in-addr.arpa. 86400INNSns2.magedu.com.
50.168.192.in-addr.arpa. 86400INNSns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.48600INA192.168.50.200
ns2.magedu.com.48600INA192.168.50.201
;; Query time: 0 msec
;; SERVER: 192.168.50.201#53(192.168.50.201)
;; WHEN: Mon Jul 18 22:22:26 2016
;; MSG SIZE  rcvd: 137

三、子載授權   

  在magedu.com中增加子域git.magedu.com，ns.git.magedu.com地址為192.168.50.230
     a、編輯父域的區域配置文件/var/named/magedu.zone,新增以下內容 
git.magedu.com IN NS ns.git.magedu.com.
ns.git.magedu.com. IN A  192.168.50.230
     b、在192.168.50.230啟動named服務，配置對應區域配置文件即可

四、bind服務高可用 

  使用主從DNS服務器，完成高可用
主服務器配置：
     a、在主配置文件/etc/named.rfc1912.zone 區域配置中，type 設置為maste
      b、在區域配置文件中，必須要有對應的NS和A記錄指向從服務器
從服務器配置
    a、在主在主配置文件/etc/named.rfc1912.zone 區域配置中，type 設置為slave, 同時設置
                masters "主服務器IP地址";
    b、  從服務器區域配置文件位于/var/named/slaves目錄下，配置文件不用    手動配置，會自動從主服務器同步