1、 畫出TSL鏈路的通信圖
答:SSL是安全套接層(Secure Socket Layer)的縮寫,而TLS表示傳輸層安全(Transport Layer Security)的縮寫。SSl最初由網景公司提出,最初目的是爲了保護web安全,然而現在用來提高傳輸層的安全。TLS是IETF基於SSLv3制定的標準,兩者基本一致,只有少許的差別。首先我們來看一下SSLv3 /TLS協議在TCP/IP協議棧中的位置,通常我們認爲SSLv3 /TLS處於傳輸層和應用層之間。而將SSLv3/TLS通常又分爲握手層和記錄層,如下圖所示:
客戶端現在發送一個ChangeCipherSpec記錄,基本上告訴服務器,“從現在開始我告訴你的所有東西都將被驗證(如果加密參數存在於服務器證書中,則加密)。” ChangeCipherSpec本身是一個內容類型爲20的記錄級協議。
最後,客戶端發送經過身份驗證和加密的Finished消息,其中包含先前握手消息上的散列和MAC。
服務器將嘗試解密客戶端的Finished消息並驗證散列和MAC。如果解密或驗證失敗,則認爲握手失敗並且連接應該被拆除。
最後,服務器發送一個ChangeCipherSpec,告訴客戶端,“從現在開始我告訴你的所有內容都將被驗證(如果加密是經過協商的,則加密)。”
服務器發送其經過身份驗證和加密的Finished消息。
客戶端執行與服務器在上一步驟中執行的相同的解密和驗證過程。
應用程序階段:此時,“握手”已完成,應用程序協議已啓用,內容類型爲23.客戶端和服務器之間交換的應用程序消息也將進行身份驗證,並且可選地加密,與其完成消息完全相同。否則,內容類型將返回25,客戶端將不會進行身份驗證。
2、 如何讓瀏覽器識別自籤的證書
答:建立私有CA:
生成私鑰;
~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
生成自簽證書;
~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
-new:生成新證書籤署請求;
-x509:生成自籤格式證書,專用於創建私有CA時;
-key:生成請求時用到的私有文件路徑;
-out:生成的請求文件路徑;如果自籤操作將直接生成簽署過的證書;
-days:證書的有效時長,單位是day;
爲CA提供所需的目錄及文件;
~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
~]# touch /etc/pki/CA/{serial,index.txt}
~]# echo 01 > /etc/pki/CA/serial
之後將證書導入到瀏覽器即可
3、 搭建DNS服務器
答:第一步
[root@localhost ~]# vim /etc/named.conf
options {
listen-on port 53 { 192.168.1.88; };
allow-query { any; };
第二步:新增區域信息
[root@localhost ~]# cat /etc/named.rfc1912.zones
zone "assassin.com" IN {
type master;
file "assassin.com.zone";
};
第三步:新增區域文件
[root@localhost ~]# vim /var/named/assassin.com.zone
$TTL 3600
$ORIGIN assassin.com.
@ IN SOA ns1.assassin.com admin.assassin.com.(
2019040701
1H
10M
3D
1D)
IN NS ns1
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 192.168.1.88
www IN A 192.168.1.90
web IN CNAME www
第四步:修改文件權限
[root@localhost ~]#chgrp named /var/named/assassin.com.zone
[root@localhost ~]#chmod o= named /var/named/assassin.com.zone
第五步:檢查文件錯誤,並運行
[root@localhost ~]#named-checkconf
[root@localhost ~]#named-checkzone assassin.com /var/named/assassin.com.zone
[root@localhost ~]#rndc reload
[root@localhost ~]# dig -t A www.assassin.com
; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> -t A www.assassin.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36713
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.assassin.com. IN A
;; ANSWER SECTION:
www.assassin.com. 3600 IN A 192.168.1.90
;; AUTHORITY SECTION:
assassin.com. 3600 IN NS ns1.assassin.com.
;; ADDITIONAL SECTION:
ns1.assassin.com. 3600 IN A 192.168.1.88
;; Query time: 0 msec
;; SERVER: 192.168.1.88#53(192.168.1.88)
;; WHEN: Tue Apr 09 00:39:56 CST 2019
;; MSG SIZE rcvd: 95
** 4、 熟悉DNSPOD的解析類型
答:A (Address) 記錄是用來指定主機名(或域名)對應的IP地址記錄。
就是說:通過A記錄,大家可以設置自己的不同域名轉到不同的IP上去!如:
www.dns.la 轉到IP 116.255.202.1
web.dns.la 轉到IP 116.255.202.11
mail.dns.la 轉到IP 116.255.202.111
2、MX記錄(Mail Exchange):郵件交換記錄
說明:用戶可以將該域名下的郵件服務器指向到自己的mail server上,然後即可自行操作控制所有的郵箱設置。
3、CNAME (Canonical Name)記錄,通常稱別名解析
可以將註冊的不同域名都轉到一個域名記錄上,由這個域名記錄統一解析管理,與A記錄不同的是,CNAME別名記錄設置的可以是一個域名的描述而不一定是IP地址!
4、URL (Uniform Resource Locator )轉發:網址轉發
功能:如果您沒有一臺獨立的服務器(也就是沒有一個獨立的IP地址)或者您還有一個域名B,您想訪問A域名時訪問到B域名的內容,這時您就可以通過URL轉發來實現。
url轉發可以轉發到某一個目錄下,甚至某一個文件上。而cname是不可以,這就是url轉發和cname的主要區別所在。
5、NS(Name Server)記錄是域名服務器記錄
用來指定該域名由哪個DNS服務器來進行解析,可以把一個域名的不同二級域名分別指向到不同的DNS系統來解析。
6、AAAA記錄 IPV6解析記錄