Homework Week-11 加密、CA及DNS

1、詳細描述一次加密通訊的過程，結合圖示最佳。

—————————————————————————————————————

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

一、在確定配置為CA的服務器上生成一個自簽證書，并為CA提供所需要的目錄及文件，步驟：

    (1)生成CA私鑰

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

    (2)生成自簽證書

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655  
#從私鑰中提取公鑰并輸出證書

    (3)為CA提供所需的目錄及文件

mkdir -pv /etc/pki/CA/{certs,crl,newcerts}    #創建目錄
touch /etc/pki/CA/{serial.index.txt}        #創建文件
echo 01>/etc/pki/CA/serial                #第一個證書序列號

二、為客戶端發來的證書請求進行辦證書，簽署命令：

openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

—————————————————————————————————————

3、描述DNS查詢過程以及DNS服務器類別。

一、DNS查詢過程

    (1)客戶端查詢本機hosts

    (2)查詢DNS本地緩存

    (3)查詢DNS服務器

二、DNS服務器類型

    復制解析至少一個域：主名稱服務器；輔助名稱服務器

    不負責域解析：緩存名稱服務器

—————————————————————————————————————

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

  (1)、能夠對一些主機名進行正向解析和逆向解析；

  (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

  (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

一、配置正向解析域區域

    1、修改/etc/named.conf配置文件監聽端口為本機地址

    2、定義區域（可以在主配置文件中定義也可以在輔助配置文件中定義）

vim /etc/named.rfc1912.zones    #在輔助配置文件中定義
    zone "elephant.com" IN{
        type master;
        file "elephant.com.zone";
    };

    3、建立區域數據文件，在/var/named目錄下建立區域數據文件，文件為：/var/named/elephant.com.zone

vim /var/named/elephant.com.zone
    $TTL 3600    ;頂格
    $ORIGIN elephant.com.
    @ IN SOA ns1.elephant.com. dnsadmin.elephant.com.(
        2017010801
        1H
        10M
        3D
        1D )
          IN NS ns1    ;NS當前區域的區域名稱
          IN MX 10 mx1    ;MX郵件交換器
          IN MX 20 mx2
      ns1 IN A 192.168.1.103
      mx1 IN A 192.168.1.103
      mx2 IN A 192.168.1.104
      www IN A 192.168.1.103
      web IN CNAME www
      bbs IN A 192.168.1.103
      bbs IN A 192.168.1.104

    4、權限及屬組修改

chgrp named /var/named/elephant.com.zone
chmod o= /var/named/elephant.com.zone

    5、檢查語法錯誤

named-checkconf    #檢查主配置文件是否有語法錯誤
named-checkzone elephant.com /var/named/elephant.com.zone    #檢查區域文件

    6、服務器重載配置文件和區域數據文件

rndc reload    #完成區域內容重載

    7、測試DNS配置

dig -t A www.elephant.com @ 192.168.1.103
dig -t A web.elephant.com 
host -t A bbs.elephant.com
dig -t NS elephant.com
dig -t MX elephant.com
host -t MX elephant.com

二、配置逆向解析域區域

    1、定義區域（可以在主配置文件中定義也可以在輔助配置文件中定義）

vim /etc/named.rfc1912.zones    #在輔助配置文件中定義
    zone "1.168.192.in-addr.arpa" IN{
        type master;
        file "192.168.1.zone";
    };

    2、建立區域數據文件，在/var/named目錄下建立區域數據文件，文件為：/var/named/192.168.1.zone

vim /var/named/192.168.1.zone
    $TTL 3600
    $ORIGIN 1.168.192.in-addr.arpa.
    @ IN SOA ns1.elephant.com. dnsadmin.elephant.com.(
        2017010801
        1H
        10M
        3D
        1D)
      IN NS ns1.elephant.com.   
      103 IN PTR ns1.elephant.com.
      103 IN PTR mx1.elephant.com.
      104 IN PTR mx2.elephant.com.
      103 IN PTR www.elephant.com.
      103 IN PTR bbs.elephant.com.
      104 IN PTR bbs.elephant.com.

    3、權限及屬組修改

chgrp named /var/named/192.168.1.zone
chmod o= /var/named/192.168.1.zone

    4、語法錯誤檢查

named-checkzone 1.168.192.in-addr.arpa /var/named/192.168.1.zone
named-checkconf

     5、服務器重載配置文件和區域數據文件

rndc reload    #完成區域內容重載

    6、測試DNS配置

dig -x 192.168.1.103

三、cdn.elephant.com子域授權

    1、添加正向解析區域

# vim /var/named/elephant.com.zone
cdn.elephant.com. IN NS ns1.cdn.elephant.com.
cdn.elephant.com. IN NS ns2.cdn.elephant.com.
ns1.cdn.elephant.com. IN A 192.168.1.103
ns2.cdn.elephant.com. IN A 192.168.1.104

    2、定義轉發：區域轉發或全局轉發，提高DNS系統可用性