第九周作业

1、 画出TSL链路的通信图

答：SSL是安全套接层（Secure Socket Layer）的缩写，而TLS表示传输层安全（Transport Layer Security）的缩写。SSl最初由网景公司提出，最初目的是为了保护web安全，然而现在用来提高传输层的安全。TLS是IETF基于SSLv3制定的标准，两者基本一致，只有少许的差别。首先我们来看一下SSLv3 /TLS协议在TCP/IP协议栈中的位置，通常我们认为SSLv3 /TLS处于传输层和应用层之间。而将SSLv3/TLS通常又分为握手层和记录层，如下图所示：

客户端现在发送一个ChangeCipherSpec记录，基本上告诉服务器，“从现在开始我告诉你的所有东西都将被验证（如果加密参数存在于服务器证书中，则加密）。” ChangeCipherSpec本身是一个内容类型为20的记录级协议。

最后，客户端发送经过身份验证和加密的Finished消息，其中包含先前握手消息上的散列和MAC。
服务器将尝试解密客户端的Finished消息并验证散列和MAC。如果解密或验证失败，则认为握手失败并且连接应该被拆除。

最后，服务器发送一个ChangeCipherSpec，告诉客户端，“从现在开始我告诉你的所有内容都将被验证（如果加密是经过协商的，则加密）。”

服务器发送其经过身份验证和加密的Finished消息。
客户端执行与服务器在上一步骤中执行的相同的解密和验证过程。

应用程序阶段：此时，“握手”已完成，应用程序协议已启用，内容类型为23.客户端和服务器之间交换的应用程序消息也将进行身份验证，并且可选地加密，与其完成消息完全相同。否则，内容类型将返回25，客户端将不会进行身份验证。

2、 如何让浏览器识别自签的证书

答：建立私有CA：

生成私钥；
~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
生成自签证书；
~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
-new：生成新证书签署请求；
-x509：生成自签格式证书，专用于创建私有CA时；
-key：生成请求时用到的私有文件路径；
-out：生成的请求文件路径；如果自签操作将直接生成签署过的证书；
-days：证书的有效时长，单位是day；

为CA提供所需的目录及文件；
~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
~]# touch /etc/pki/CA/{serial,index.txt}
~]# echo 01 > /etc/pki/CA/serial
之后将证书导入到浏览器即可

3、 搭建DNS服务器

答：第一步
[[email protected] ~]# vim /etc/named.conf
options {
listen-on port 53 { 192.168.1.88; };
allow-query { any; };
第二步：新增区域信息
[[email protected] ~]# cat /etc/named.rfc1912.zones
zone "assassin.com" IN {
type master;
file "assassin.com.zone";
};
第三步：新增区域文件
[[email protected] ~]# vim /var/named/assassin.com.zone
$TTL 3600
$ORIGIN assassin.com.
@ IN SOA ns1.assassin.com admin.assassin.com.(
2019040701
1H
10M
3D
1D)
IN NS ns1
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 192.168.1.88
www IN A 192.168.1.90
web IN CNAME www
第四步：修改文件权限
[[email protected] ~]#chgrp named /var/named/assassin.com.zone
[[email protected] ~]#chmod o= named /var/named/assassin.com.zone

第五步：检查文件错误，并运行
[[email protected] ~]#named-checkconf
[[email protected] ~]#named-checkzone assassin.com /var/named/assassin.com.zone
[[email protected] ~]#rndc reload
[[email protected] ~]# dig -t A www.assassin.com

; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> -t A www.assassin.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36713
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.assassin.com. IN A

;; ANSWER SECTION:
www.assassin.com. 3600 IN A 192.168.1.90

;; AUTHORITY SECTION:
assassin.com. 3600 IN NS ns1.assassin.com.

;; ADDITIONAL SECTION:
ns1.assassin.com. 3600 IN A 192.168.1.88

;; Query time: 0 msec
;; SERVER: 192.168.1.88#53(192.168.1.88)
;; WHEN: Tue Apr 09 00:39:56 CST 2019
;; MSG SIZE rcvd: 95

** 4、 熟悉DNSPOD的解析类型

答：A (Address) 记录是用来指定主机名（或域名）对应的IP地址记录。
就是说：通过A记录，大家可以设置自己的不同域名转到不同的IP上去！如：

www.dns.la 转到IP 116.255.202.1

web.dns.la 转到IP 116.255.202.11

mail.dns.la 转到IP 116.255.202.111

2、MX记录（Mail Exchange）：邮件交换记录

说明：用户可以将该域名下的邮件服务器指向到自己的mail server上，然后即可自行操作控制所有的邮箱设置。

3、CNAME (Canonical Name)记录，通常称别名解析

可以将注册的不同域名都转到一个域名记录上，由这个域名记录统一解析管理，与A记录不同的是，CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址！

4、URL (Uniform Resource Locator )转发：网址转发

功能：如果您没有一*立的服务器（也就是没有一个独立的IP地址）或者您还有一个域名B，您想访问A域名时访问到B域名的内容，这时您就可以通过URL转发来实现。
url转发可以转发到某一个目录下，甚至某一个文件上。而cname是不可以，这就是url转发和cname的主要区别所在。

5、NS（Name Server）记录是域名服务器记录
用来指定该域名由哪个DNS服务器来进行解析，可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。

6、AAAA记录 IPV6解析记录