1、画出TSL链路的通讯图
支撑的协定版本,比如tls 1.2
客户端生成一个随机数,用于稍后生成“会话密钥”
支撑的加密算法列表
支撑的紧缩算法
第二阶段:ServerHello
确认应用的加密通讯协定版本,比如 tls 1.2
服务器端生成一个随机数,用于稍后生成“会话密钥”
确认应用的加密办法
服务器证书
第三阶段:
客户端验证服务器证书(检讨发证机构、证书完全性、证书持有者,证书有效期、撤消列表),在确认无误后取出其公钥
发送以下信息给服务器端:
生成第三个随机数(pre-master-key),用公钥加密
编码变革通知,表现随后的信息都将用双方约定的加密办法和密钥发送
客户端握手停止通知
第四阶段:
服务端用自己私钥解密从客户端发来的信息,得到第三个随机数(pre-master-key)后,盘算生本钱次会话所用到的“会话密钥”
向客户端发送以下信息:
编码变革通知,表现随后的信息都将用双方约定的加密办法和密钥发送
服务端握手停止通知
后续的会话就应用会话密钥进行加密。
2、如何让阅读器辨认自签的证书
树立私有CA: 生成私钥; ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) 生成自签证书; ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655 -new:生成新证书签订要求; -x509:生成自签格局证书,专用于创立私有CA时; -key:生成要求时用到的私有文件路径; -out:生成的要求文件路径;如果自签操作将直接生成签订过的证书; -days:证书的有效时长,单位是day; 为CA供给所需的目录及文件; ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts} ~]# touch /etc/pki/CA/{serial,index.txt} ~]# echo 01 > /etc/pki/CA/serial 以后将证书导入到阅读器便可
3、搭建DNS服务器
(1)安装DNS服务器软件
root用户履行 yum install bind
(2)配置相干的配置文件
(2.1)首先是DNS主配置文件/etc/named.conf
options {
listen-on port 53 { any; }; 监听端口和哪些主机可以拜访解析,any表现所有
directory "/var/named"; 数据库文件的目录地位
allow-query { any; }; 许可哪些主机要求查询
recursion yes; 将自己视为客户真个一种查询方法
zone "." IN {
type hint;
file "named.ca";
};
zone "magedu.com" IN {
type master;
file "magedu.com";
}
zone "99.168.192.in-addr.arpa" IN {
type master;
file "named.192.168.99";
}
其中 zone后面跟上要解析的域名,正向解析时是域名本身,反向解析时为IP网段反向.in-addr.arpa
type:为zone的类型,针对根为hint;主DNS为master;从DNS为slave;转发域为forward
file 该zone的文件名称
(2.2)域名的解析库文件
正向解析文件:/var/named/magedu.com
$TTL 86400
@ IN SOA ns1.magedu.com. admin.magedu.com. ( 2019011301
1H
5M
1W
86400 )
@ IN NS ns1.magedu.com.
@ IN MX 10 mail.magedu.com
ns1 IN A 192.168.99.110
www IN A 192.168.99.110
www IN A 192.168.99.111
ftp IN A 192.168.99.110
web IN A CNAME ftp
解释:TTL即生存时光,SOA表现开端验证,ns1.magedu.com.表现该域的主域名服务器,admin.magedu.com.表现管理员邮件地址(这里的邮件地址中的用.来取代常见的邮件地址的@.)
接下来的圆括号中5个字段分离表现:配置文件的修正版本序列号、刷新时光、重试时光、过期时光、快取时光
NS表现域内的DNS服务器名称,MX表现域中的邮件服务器,MX后面的数字为优先级,A表现从域名向IP的正向主机解析记载
CNAME ftp 表现 web应用与之前定义ftp一样的解析目的IP地址,即别号
反向解析文件:/var/named/named.192.168.99
$TTL 86400
@ IN SOA ns1.magedu.com. admin.magedu.com. ( 2019011301
1H
5M
1W
86400 )
@ IN NS ns1.magedu.com.
110 IN PTR ns1.magedu.com.
110 IN PTR www
111 IN PTR www.magedu.com.
110 IN PTR ftp
解释:第一列只要添加IP地址最后一段便可,PTR表现反向解析
(3)重启DNS服务
# cd /var/named
# chown named:named named.192.168.99 magedu.com
# service named restart
(4)测试DNS
应用dig来测试
# dig -t A www.magedu.com @Server 正向解析
#dig -t PTR 192.168.99.110 @Server 反向解析
-t表现后接类型
4、熟习DNSPOD的解析类型
(1)A记载:将域名指向一个ip地址
(2)CNAME记载:将域名指向另外一个域名,再由另外一个域名供给ip地址
(3)MX记载:设置邮箱,让邮箱能收到邮件
(4)TXT记载:对域名进行标识和解释,绝大多数的TXT记载是用来做SPF记载(反垃圾邮件)
(5)隐/显性URL记载:将一个域名指向另外一个已存在的站点,就须要添加URL记载
隐性转发:用的是iframe框架技巧,非重定向技巧;后果为阅读器地址栏输入https://a.com 回车,打开网站内容是目的地址https://www.dnspod.cn 的网站内容,但地址栏显示当前地址https://a.com 。如果目的地址不准可被嵌套时,则不能应用隐性转发(如QQ空间,不能应用隐性转发)。
显性转发:用的是301重定向技巧;后果为阅读器地址栏输入https://a.com 回车,打开网站内容是目的地址https://www.dnspod.cn 的网站内容,且地址栏显示目的地址https://www.dnspod.cn 。
(6)AAAA记载:通过IPv6地址拜访您的域名
(7)NS记载:把子域名交给其他DNS服务商解析
(8)SRV记载:用来标识某台服务器应用了某个服务,常见于微软体系的目录管理
支撑的协定版本,比如tls 1.2
