加密與CA

一次加密通訊流程：

1、生成數據

2、用單向加密數據生成特征碼

3、用自己的私鑰加密特征碼放在數據后面

4、生成臨時會話密鑰加密特征碼和數據

5、用對方的公鑰加密臨時密鑰

2、私有CA

構建私有CA

    1、生成私鑰

    2、自簽署證書

給節點發放證書

    1、節點申請證書

        節點生成私鑰

        生成證書簽署請求

        把請求文件發送給CA

    2、CA簽署證書

        CA驗證請求者的信息

        簽署證書

        把簽署好的證書發還給請求者

驗正證書：

    1、使用CA的公鑰的解密證書的數字簽名

    2、使用同樣的單向加密算法提取證書文件特征碼，對比解密的結果

    3、驗正主體名稱與請求的服務器地址是否相同

SSL的工作過程，Client和Server之間

    1、Server已向CA申請過證書

    2、Client和Server經過TCP的3次握手

    3、Client向Server請求證書，Server發送證書給Client

    4、Client通過CA公鑰解密簽名驗證來源合法性，再用同樣的單向加密計算特征碼驗證完整性，后驗證訪問的主機是否一致（證書中的common name對比）

    5、協商ssl版本，加密算法，生成臨時密鑰進行通信

    6、除非連接斷開再次建立連接

3、DNS查詢過程

當 DNS 客戶機需要查詢程序中使用的名稱時，它會查詢本地DNS 服務器來解析該名稱?？蛻魴C發送的每條查詢消息都包括3條信息，以指定服務器應回答的問題。
指定的 DNS 域名，表示為完全合格的域名 (FQDN) 。
指定的查詢類型，它可根據類型指定資源記錄，或作為查詢操作的專門類型。
DNS域名的指定類別。
    對于DNS 服務器，它始終應指定為 Internet 類別。例如，指定的名稱可以是計算機的完全合格的域名，如im.qq.com，并且指定的查詢類型用于通過該名稱搜索地址資源記錄。
    DNS 查詢以各種不同的方式進行解析?？蛻魴C有時也可通過使用從以前查詢獲得的緩存信息就地應答查詢。DNS 服務器可使用其自身的資源記錄信息緩存來應答查詢，也可代表請求客戶機來查詢或聯系其他 DNS 服務器，以完全解析該名稱，并隨后將應答返回至客戶機。這個過程稱為遞歸。
    另外，客戶機自己也可嘗試聯系其他的 DNS 服務器來解析名稱。如果客戶機這么做，它會使用基于服務器應答的獨立和附加的查詢，該過程稱作迭代，即DNS服務器之間的交互查詢就是迭代查詢。
DNS 查詢的過程如下圖所示。

1、在瀏覽器中輸入www.qq.com域名，操作系統會先檢查自己本地的hosts文件是否有這個網址映射關系，如果有，就先調用這個IP地址映射，完成域名解析。
2、如果hosts里沒有這個域名的映射，則查找本地DNS解析器緩存，是否有這個網址映射關系，如果有，直接返回，完成域名解析。
3、如果hosts與本地DNS解析器緩存都沒有相應的網址映射關系，首先會找TCP/ip參數中設置的首選DNS服務器，在此我們叫它本地DNS服務器，此服務器收到查詢時，如果要查詢的域名，包含在本地配置區域資源中，則返回解析結果給客戶機，完成域名解析，此解析具有權威性。
4、如果要查詢的域名，不由本地DNS服務器區域解析，但該服務器已緩存了此網址映射關系，則調用這個IP地址映射，完成域名解析，此解析不具有權威性。
5、如果本地DNS服務器本地區域文件與緩存解析都失效，則根據本地DNS服務器的設置（是否設置轉發器）進行查詢，如果未用轉發模式，本地DNS就把請求發至13臺根DNS，根DNS服務器收到請求后會判斷這個域名(.com)是誰來授權管理，并會返回一個負責該頂級域名服務器的一個IP。本地DNS服務器收到IP信息后，將會聯系負責.com域的這臺服務器。這臺負責.com域的服務器收到請求后，如果自己無法解析，它就會找一個管理.com域的下一級DNS服務器地址(qq.com)給本地DNS服務器。當本地DNS服務器收到這個地址后，就會找qq.com域服務器，重復上面的動作，進行查詢，直至找到www.qq.com主機。
6、如果用的是轉發模式，此DNS服務器就會把請求轉發至上一級DNS服務器，由上一級服務器進行解析，上一級服務器如果不能解析，或找根DNS或把轉請求轉至上上級，以此循環。不管是本地DNS服務器用是是轉發，還是根提示，最后都是把結果返回給本地DNS服務器，由此DNS服務器再返回給客戶機。

DNS類別：

（1）主域名服務器：負責維護這個區域的所有域名信息，是特定的所有信息的權威信息源。也是說，主域名服務器內所存儲的是該區域的正本數據，系統管理員可以對它進行修改。

（2）輔助域名服務器：當主域名服務器出現故障、關閉或負載過重時，輔助域名服務器作為備份服務提供域名解析服務。輔助域名服務器中的區域文件內的數據是從另外一臺域名服務器復制過來的，并不是直接輸入的，也是說這個區域文件只是一份副本，這里的數據是無法修改的。

（3）緩存域名服務器：可運行域名服務器軟件但沒有域名數據庫。它從某個遠程服務器取得每次域名服務器查詢的回答，一旦獲取一個答案，將它放在高速緩存中，以后查詢相同的信息時用它予以回答。緩存域名服務器不是權威性服務器，因為提供的所有信息都是間接信息。

（4）轉發域名服務器：負責所有非本地域名的本地查詢。轉發域名服務器接到查詢請求時，在其緩存中查找，如找不到把請求依次轉發到指定的域名服務器，直到查詢到結果為止，否則返回無法映射的結果。