NET25-第11周作業

1、詳細描述一次加密通訊的過程，結合圖示最佳。

• 第一步：他們需要實現協商好對稱加密算法，單向加密算法，公鑰加密算法，交換公鑰等。
• 第二步：B用戶想要將數據傳給A,首先需要使用單向加密算法取出數據的特征碼，并用自己的私鑰對這段特征碼進行加密（數字簽名），B用戶生成臨時對稱密鑰，并用對稱密鑰加密整段數據，B用戶使用
  A用戶的公鑰加密一次性對稱密鑰，附加在整段數據后面，并將整段數據發送給A用戶。
• 第三步：A用戶使用自己的私鑰來解密被加密的對稱密鑰，用對稱密鑰解密整段加密的內容，用用戶B的公鑰解密數字簽名，如果解得開，數據來源得到驗證，獲取特征碼與用戶A使用相同的單向加密算法獲取整段數據的特征碼進行比較，如果相同，數據的完整性得到保證。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

(1）生成私鑰
(umask 077,openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
(2)生成自簽證書 
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
(3)為CA創建所需要的目錄或文件
mkdir /etc/pki/CA/{certs,crl,newcerts}
touch /etc/pki/CA/{serial,index.txt}
echo 01> /etc/pki/CA/serial

要用到證書進行安全通信的服務器，需要向ca服務器請求簽署證書

步驟：

(1）用到的證書餓主機生成證書簽署請求
（umask 077；openssl genrsa -out httpd.key 2048）
(2)生成證書簽署請求
openssl req -new -key httpd.key -out httpd.csr -days 365
(3)將請求通過可靠方式發送給ca證書
(4)簽署證書
openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
(5)查看證書中的信息
openssl x509 -in httpd.crt -noout -serial -subject

3、描述DNS查詢過程以及DNS服務器類別。

• (1)用戶發起dns解析請求，如果是此dns負責的解析列表或者有此域名的解析緩存，dns就返回給用戶域名的解析ip。
• (2)若果此dns不知道此域名的解析，則此dns會幫用戶去遞歸請求，去請求根服務器，根服務器也不知道，而是返回他二級域的IP。
• (3)此dns會去請求二級域，二級域返回他下面的三級域的地址。
• (4)依次迭代下去，最終找到請求域名的dns解析IP，返回給用戶。
• (5)請求的dns會緩存下這個域名的解析，而后返回給用戶。

dns服務器的類型：

負責解析至少一個域：
    主名稱服務器
    輔助名稱服務器
不負責解析：
    緩存名稱服務器

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

• (1)、能夠對一些主機名進行正向解析和逆向解析；
• (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；
• (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程”

配置正向解析

~]#vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};
~]#vim /var/named/magedu.com.zone
$TTL 3600
@     IN SOA magedu.com. admin.magedu.com. (
                2017031901    ;serial
                1H            ;refresh
                10M           ;retry
                3D            ;expire
                1D            ;negative answer ttl
        )
                IN NS ns1
ns1             IN A 10.211.55.24
www             IN A 10.211.55.26

配置反向解析

~]#vim /etc/named.rfc1912.zones
zone "55.211.10.in-addr.arpa" IN {
        type master;
        file "55.211.10.zone";
};
~]#vim /var/named/55.211.10.zone
$TTL 3600
@     IN   SOA  jusene.me admin.jusene.me (
            2017031901
            1H
            10M
            3D
            1D
        )
          IN  NS ns1.magedu.com.
24        IN PTR  ns1.jusene.me.
26        IN PTR  www.jusene.me.

子域授權

父域
~]#vim /var/named/magedu.com.zone
$TTL 3600
@     IN SOA magedu.com. admin.magedu.com. (
                2017031901    ;serial
                1H            ;refresh
                10M           ;retry
                3D            ;expire
                1D            ;negative answer ttl
        )
                IN NS ns1
ns1             IN A 10.211.55.24
www             IN A 10.211.55.26

cdn             IN NS ns1.cdn
ns1.cdn         IN A  10.211.55.28

子域，在另外1臺機器
~]#vim /etc/named.rfc1912.zones
zone "cdn.magedu.com" IN {
        type master;
        file "cdn.magedu.com.zone";
};
~]#vim /var/named/cdn.magedu.com.zone
$TTL 3600
@     IN SOA cdn.magedu.com. admin.magedu.com. (
                2017031901    ;serial
                1H            ;refresh
                10M           ;retry
                3D            ;expire
                1D            ;negative answer ttl
        )
                IN NS ns1
ns1             IN A 10.211.55.28
www             IN A 10.211.55.29

主從復制

在另外1臺機器，從服務器
~]#vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 10.211.55.24;};
};

主服務器
~]#vim /var/named/magedu.com.zone
$TTL 3600
@     IN SOA magedu.com. admin.magedu.com. (
                2017031901    ;serial
                1H            ;refresh
                10M           ;retry
                3D            ;expire
                1D            ;negative answer ttl
        )
                IN NS ns1
                IN NS ns2
ns2             IN A 10.211.55.25
ns1             IN A 10.211.55.24
www             IN A 10.211.55.26