第十一周

1、詳細描述一次加密通訊的過程，結合圖示最佳。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

CA 服務器端：
 （1）生成 CA 服務器的私鑰
     (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
  (2)生成 CA服務器自謙證書
     openssl req -new x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 
  (3)CA目錄下生成相應文件
     touch /etc/pki/CA/{serial,index.txt}
     echo 01 > /etc/pki/CA/serial

  請求客戶端：
  （1)mkdir /etc/httpd/ssl
   (2)生成私鑰
       (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 1024)
   (3)生成請求
        openssl req -new -key /etc/httpd/ssl/httpd.key -out /tmp/httpd.csr
      按照提示完成信息的填寫
   (4) 將 httpd.csr 交至服務器端

   CA服務器端簽發：
  （1）openssl ca  -in /path/to/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
   (2) 查看證書 
       openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -subject -serial

3、描述DNS查詢過程以及DNS服務器類別。

DNS服務器分為解析服務器和緩存服務器。

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP） (1)、能夠對一些主機名進行正向解析和逆向解析； (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名； (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

配置/etc/named.conf:

options {
        listen-on port 53 { 192.168.1.106; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-transfer { 192.168.1.106; };
//      allow-query     { localhost; 192.168.1.108; };
檢查配置文件
named-checkconf

在/etc/named.rfc1912.zones 添加解析域

zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};

zone "1.168.192.in-addr.arpa" IN {
        type master;
        file "1.168.192.in-addr.arpa.zone";
};

建立解析文件庫 /var/named/magedu.com.zone


$TTL 3600
$ORIGIN magedu.com.
@      IN   SOA magedu.com. admin.magedu.com. (
                201703298 ; serial
                1H      ; retry
                2H      ; refresh
                3D      ; expired
                1D      ; TTL 
 )
       IN  NS  ns1
       IN  NS  ns2
       IN  NS  ns3
ns1   IN  A 192.168.1.101
ns2   IN  A 192.168.1.103
ns3   IN  A 192.168.1.102
web   IN  CNAME www
www   IN  A  192.168.1.104
cdn   IN  NS  ns4.cdn
ns4.cdn IN A 192.168.1.108 子域記錄
~                                                                                                                                                                                                                               
修改文件屬性
chgrp named magedu.com.zone 
chmod o=    magedu.com.zone
[root@www named]# ll
total 24
-rw-r-----. 1 root  named  344 Mar 30 11:26 1.168.192.in-addr.arpa.zone
drwxrwx---. 2 named named   22 Mar 29 14:58 data
drwxrwx---. 2 named named   30 Mar 29 15:33 dynamic
-rw-r-----. 1 root  named  436 Mar 30 12:01 magedu.com.zone
-rw-r-----. 1 root  named 2076 Jan 28  2013 named.ca
-rw-r-----. 1 root  named  152 Dec 15  2009 named.empty
-rw-r-----. 1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----. 1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---. 2 named named    6 Feb 15 21:16 slaves


檢查配置文件
 named-checkzone magedu.com  ./magedu.com.zone
 重載
 rndc reload

 子域文件庫配置：
 zone "cdn.magedu.com" IN {
    type master;
    file "cdn.magedu.com.zone";

    };


zone "magedu.com" IN {    轉發配置
          type forward;
          forward  only;
          forwarders  { 192.168.1.106; };
   }:
從服務器配置：

zone "magedu.com" IN  {
        type slave;
        file "slaves/magedu.com";
        masters { 192.168.1.106; } ;
};

無論是子域配置還是從服務器配置，主 DNS解析庫文件必須有該子域或從服務器的A記錄。