DNS
域名系統(tǒng)(Domain Name System瘦陈,縮寫:DNS)是互聯(lián)網(wǎng)的一項服務踪区。它作為將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫铺韧,能夠使人更方便地訪問互聯(lián)網(wǎng)俐载。DNS使用TCP和UDP端口53蟹略。
域名是一個具有層次的結構,從上到下一次為根域名遏佣、頂級域名挖炬、二級域名、三級域名
例如www.baidu.com状婶,www為三級域名意敛、baidu為二級域名、com為頂級域名膛虫。
域名查詢方式
迭代與遞歸草姻,如圖所示。
迭代的方式可以減輕根域名服務器壓力稍刀。
緩存
本地:1. 瀏覽器緩存 2.操作系統(tǒng)緩存
瀏覽器自身的DNS緩存:緩存時間比較短撩独,大概只有1分鐘,且只能容納1000條緩存
沒有找到會查詢操作系統(tǒng)緩存,如host文件
服務器:高速緩存跌榔,例如本地服務器查詢后在緩存中存放上次查詢結果异雁。適用于多級服務器。
域名服務器應為每項內容設置計時器并刪除超過合理時間的項
好處:增加此時間值可減少網(wǎng)絡開銷僧须,而減少此時間值可提高域名解析的正確性(域名很少修改)
流程
記錄方式
A
www.example.com. IN A 139.18.28.5;
IN 代表記錄用于互聯(lián)網(wǎng)
A代表Address 地址纲刀,證明是域名和IP映射的關系
CNAME
a.example.com. IN CNAME b.example.com.
CNAME 別名 a地址是b地址的別名
需要實際地址時b.example會去獲取A記錄
AAAA
A 記錄是域名和 IPv4 地址的映射關系。和 A 記錄類似担平,AAAA 記錄則是域名和 IPv6 地址的映射關系
MX
MX 記錄是郵件記錄示绊,用來描述郵件服務器的域名。
NS
NS(Name Server)記錄是描述 DNS 服務器網(wǎng)址暂论。從 DNS 的存儲結構上說面褐,Name Server 中含有權威 DNS 服務的目錄。也就是說取胎,NS 記錄指定哪臺 Server 是回答 DNS 查詢的權威域名服務器展哭。
當一個 DNS 查詢看到 NS 記錄的時候,會再去 NS 記錄配置的 DNS 服務器查詢闻蛀,得到最終的記錄匪傍。如下面這個例子
a.com. IN NS ns1.a.com
a.com. IN NS ns2.a.com.
當解析 a.com 地址時,我們看到 a.com 有兩個 NS 記錄觉痛,所以確定最終 a.com 的記錄在 ns1.a.com 和 ns2.a.com 上役衡。從設計上看缘滥,ns1 和 ns2 是網(wǎng)站 a.com 提供的智能 DNS 服務器蘑志,可以提供負載均衡、分布式 Sharding 等服務雄嚣。比如當一個北京的用戶想要訪問 a.com 的時候俐芯,ns1 看到這是一個北京的 IP 就返回一個離北京最近的機房 IP棵介。
上面代碼中 a.com 配置了兩個 NS 記錄。通常 NS 不會只有一個泼各,這是為了保證高可用鞍时,一個掛了另一個還能繼續(xù)服務。通常數(shù)字小的 NS 記錄優(yōu)先級更高扣蜻,也就是 ns1 會優(yōu)先于 ns2 響應。配置了上面的 NS 記錄后及塘,如果還配置了 a.com 的 A 記錄莽使,那么這個 A 記錄會被 NS 記錄覆蓋。
CDN
如果嘗試訪問地球另一端的網(wǎng)站笙僚,則加載時間將比在您所在城市或國家/地區(qū)托管的網(wǎng)站上花費更長的時間芳肌。甚至可能會丟失。這種情況下又需要重復發(fā)送。
CDN 也是現(xiàn)在互聯(lián)網(wǎng)中的一項重要基礎設施亿笤,除了基本的網(wǎng)絡加速外翎迁,還提供負載均衡、安全防護净薛、邊緣計算汪榔、跨運營商網(wǎng)絡等功能,能夠成倍地“放大”源站服務器的服務能力肃拜,很多云服務商都把 CDN 作為產品的一部分
CDN 涉及一組分布在一個區(qū)域內的服務器痴腌。它們可以是全局的或本地的,只要它們實際覆蓋用戶最有可能請求內容的區(qū)域燃领。內容提供商會將內容上傳到他們的服務器士聪,然后它會自動將該數(shù)據(jù)傳播到 CDN 網(wǎng)絡上的其他節(jié)點。CDN 服務器通常通過快速的互聯(lián)網(wǎng)骨干連接相互連接猛蔽,因此在它們之間轉移大量數(shù)據(jù)只需幾秒鐘剥悟。
區(qū)域就近,非必須曼库。
證書
https://letsencrypt.org/zh-cn/ 免費非盈利性證書網(wǎng)站
一般指SSL證書
數(shù)字證書的一種区岗,類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本凉泄。因為配置在服務器上躏尉,也稱為SSL服務器證書。SSL 證書就是遵守 SSL協(xié)議后众,由受信任的數(shù)字證書頒發(fā)機構CA(如GlobalSign胀糜,wosign),在驗證服務器身份后頒發(fā)蒂誉,具有服務器身份驗證和數(shù)據(jù)傳輸加密功能教藻。
主要提供數(shù)據(jù)加密和身份認證功能
操作流程
用戶連接到你的Web站點,該Web站點受服務器證書所保護右锨。
你的服務器進行響應括堤,并自動傳送你網(wǎng)站的數(shù)字證書給用戶,用于鑒別你的網(wǎng)站绍移。
用戶的網(wǎng)頁瀏覽器程序產生一把唯一的“會話鑰匙碼悄窃,用以跟網(wǎng)站之間所有的通訊過程進行加密。
使用者的瀏覽器以網(wǎng)站的公鑰對交談鑰匙碼進行加密蹂窖,以便只有讓你的網(wǎng)站得以閱讀此交談鑰匙碼
CA
即證書授權中心(CA, Certificate Authority)轧抗。CA是負責簽發(fā)證書、認證證書瞬测、管理已頒發(fā)證書的機關横媚。用戶向CA提出申請后纠炮,CA負責審核用戶信息,然后對關鍵信息利用私鑰進行”簽名”灯蝴,并公開對應的公鑰恢口。客戶端可以利用公鑰驗證簽名穷躁。
種類
1.域名認證耕肩,一般通過對管理員郵箱認證的方式,這種方式認證速度快折砸,但是簽發(fā)的證書中沒有企業(yè)的名稱看疗;
2.企業(yè)文檔認證,需要提供企業(yè)的營業(yè)執(zhí)照睦授。一般需要3-5個工作日两芳。 也有需要同時認證以上2種方式的證書,叫EV證書去枷,這種證書可以使IE7以上的瀏覽器地址欄變成綠色怖辆,所以認證也最嚴格。
申請SSL證書主要需要經(jīng)過以下3個步驟:
制作CSR文件删顶。CSR就是Certificate Signing Request證書請求文件竖螃。這個文件是由申請人制作,在制作的同時逗余,系統(tǒng)會產生2個密鑰特咆,一個是公鑰就是這個CSR文件,另外一個是私鑰录粱,存放在服務器上腻格。要制作CSR文件,申請人可以參考WEB SERVER的文檔啥繁,一般APACHE等菜职,使用OPENSSL命令行來生成KEY+CSR2個文件,Tomcat旗闽,JBoss酬核,Resin等使用KEYTOOL來生成JKS和CSR文件,IIS通過向導建立一個掛起的請求和一個CSR文件适室。
CA認證 將CSR提交給CA
-
證書的安裝
收到CA的證書后嫡意,可以將證書部署上服務器,一般APACHE文件直接將KEY+CER復制到文件上捣辆,然后修改HTTPD.CONF文件鹅很;TOMCAT等,需要將CA簽發(fā)的證書CER文件導入JKS文件后罪帖,復制上服務器促煮,然后修改SERVER.XML;IIS需要處理掛起的請求整袁,將CER文件導入菠齿。
客戶端證書與服務端證書
客戶端證書用于驗證客戶/個人用戶身份
服務器證書用于驗證站點所有者身份
公鑰私鑰傳輸過程
生成一對公鑰和私鑰
公鑰發(fā)出的消息只能由私鑰解密,只要私鑰不泄露坐昙,信息就是安全的
回復消息時绳匀,對數(shù)據(jù)進行Hash函數(shù)加密生成摘要,然后使用私鑰對摘要加密就是 數(shù)字簽名
信息本身沒有加密
公鑰方對數(shù)據(jù)簽名解密可以確定信息是私鑰本人發(fā)送的炸客。
然后對信息本身進行hash加密 疾棵,如果加密結果和使用公鑰解密的結果相同則證明沒有被修改。
