1罐呼、畫出TSL鏈路的通信圖

? ? ? ?SSL是安全套接層（Secure Socket Layer）的縮寫逢艘，而TLS表示傳輸層安全（Transport Layer Security）的縮寫餐屎。

上圖說明如下：

第一階段：ClientHello:

支持的協(xié)議版本，比如tls 1.2

客戶端生成一個(gè)隨機(jī)數(shù)颈嚼，用于稍后生成“會(huì)話密鑰”

第二階段：ServerHello

確認(rèn)使用的加密通信協(xié)議版本辉浦，比如 tls 1.2

服務(wù)器端生成一個(gè)隨機(jī)數(shù)，用于稍后生成“會(huì)話密鑰”

第三階段：

客戶端驗(yàn)證服務(wù)器證書（檢查發(fā)證機(jī)構(gòu)傅事、證書完整性缕允、證書持有者，證書有效期蹭越、吊銷列表）障本，在確認(rèn)無誤后取出其公鑰

發(fā)送以下信息給服務(wù)器端：

生成第三個(gè)隨機(jī)數(shù)(pre-master-key)，用公鑰加密

編碼變更通知响鹃，表示隨后的信息都將用雙方商定的加密方法和密鑰發(fā)送

客戶端握手結(jié)束通知

第四階段：

服務(wù)端用自己私鑰解密從客戶端發(fā)來的信息驾霜，得到第三個(gè)隨機(jī)數(shù)(pre-master-key)后，計(jì)算生成本次會(huì)話所用到的“會(huì)話密鑰”

向客戶端發(fā)送如下信息：

編碼變更通知买置，表示隨后的信息都將用雙方商定的加密方法和密鑰發(fā)送

服務(wù)端握手結(jié)束通知

后續(xù)的會(huì)話就使用會(huì)話密鑰進(jìn)行加密粪糙。

2、如何讓瀏覽器識(shí)別自簽的證書

建立私有CA：

生成私鑰忿项；

~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

生成自簽證書猜旬；

~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

-new：生成新證書簽署請(qǐng)求；

-x509：生成自簽格式證書倦卖，專用于創(chuàng)建私有CA時(shí)；

-key：生成請(qǐng)求時(shí)用到的私有文件路徑椿争；

-out：生成的請(qǐng)求文件路徑怕膛；如果自簽操作將直接生成簽署過的證書；

-days：證書的有效時(shí)長秦踪，單位是day褐捻；

為CA提供所需的目錄及文件掸茅；

~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

~]# touch /etc/pki/CA/{serial,index.txt}

~]# echo 01 > /etc/pki/CA/serial

之后將證書導(dǎo)入到瀏覽器即可

3、搭建DNS服務(wù)器

答：第一步

[root@localhost ~]# vim /etc/named.conf

options {

listen-on port 53 { 192.168.1.88; };

allow-query { any; };

第二步：新增區(qū)域信息

[root@localhost ~]# cat /etc/named.rfc1912.zones

zone "assassin.com" IN {

type master;

file "assassin.com.zone";

};

第三步：新增區(qū)域文件

[root@localhost ~]# vim /var/named/assassin.com.zone?

$TTL 3600

$ORIGIN assassin.com.

@ IN SOA ns1.assassin.com admin.assassin.com.(

2019040701

1H

10M

3D

1D)

IN NS ns1

IN MX 10 mx1

IN MX 20 mx2

ns1 IN A 192.168.1.88

www IN A 192.168.1.90

web IN CNAME www

第四步：修改文件權(quán)限

[root@localhost ~]#chgrp named /var/named/assassin.com.zone

[root@localhost ~]#chmod o= named /var/named/assassin.com.zone

第五步：檢查文件錯(cuò)誤柠逞，并運(yùn)行

[root@localhost ~]#named-checkconf

[root@localhost ~]#named-checkzone assassin.com /var/named/assassin.com.zone

[root@localhost ~]#rndc reload

[root@localhost ~]# dig -t A www.assassin.com

; <<>> DiG 9.9.4-RedHat-9.9.4-73.el7_6 <<>> -t A www.assassin.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36713

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;www.assassin.com. IN A

;; ANSWER SECTION:

www.assassin.com. 3600 IN A 192.168.1.90

;; AUTHORITY SECTION:

assassin.com. 3600 IN NS ns1.assassin.com.

;; ADDITIONAL SECTION:

ns1.assassin.com. 3600 IN A 192.168.1.88

;; Query time: 0 msec

;; SERVER: 192.168.1.88#53(192.168.1.88)

;; WHEN: Tue Apr 09 00:39:56 CST 2019

;; MSG SIZE rcvd: 95

4昧狮、熟悉DNSPOD的解析類型

答：A (Address) 記錄是用來指定主機(jī)名（或域名）對(duì)應(yīng)的IP地址記錄。?

就是說：通過A記錄板壮，大家可以設(shè)置自己的不同域名轉(zhuǎn)到不同的IP上去逗鸣！如：

www.dns.la 轉(zhuǎn)到IP 116.255.202.1

web.dns.la 轉(zhuǎn)到IP 116.255.202.11

mail.dns.la 轉(zhuǎn)到IP 116.255.202.111

2、MX記錄（Mail Exchange）：郵件交換記錄

說明：用戶可以將該域名下的郵件服務(wù)器指向到自己的mail server上绰精，然后即可自行操作控制所有的郵箱設(shè)置撒璧。

3、CNAME (Canonical Name)記錄笨使，通常稱別名解析

可以將注冊(cè)的不同域名都轉(zhuǎn)到一個(gè)域名記錄上卿樱，由這個(gè)域名記錄統(tǒng)一解析管理，與A記錄不同的是硫椰，CNAME別名記錄設(shè)置的可以是一個(gè)域名的描述而不一定是IP地址繁调！

4、URL (Uniform Resource Locator )轉(zhuǎn)發(fā)：網(wǎng)址轉(zhuǎn)發(fā)

功能：如果您沒有一臺(tái)獨(dú)立的服務(wù)器（也就是沒有一個(gè)獨(dú)立的IP地址）或者您還有一個(gè)域名B靶草，您想訪問A域名時(shí)訪問到B域名的內(nèi)容蹄胰，這時(shí)您就可以通過URL轉(zhuǎn)發(fā)來實(shí)現(xiàn)。?

url轉(zhuǎn)發(fā)可以轉(zhuǎn)發(fā)到某一個(gè)目錄下爱致，甚至某一個(gè)文件上烤送。而cname是不可以，這就是url轉(zhuǎn)發(fā)和cname的主要區(qū)別所在糠悯。

5帮坚、NS（Name Server）記錄是域名服務(wù)器記錄

用來指定該域名由哪個(gè)DNS服務(wù)器來進(jìn)行解析，可以把一個(gè)域名的不同二級(jí)域名分別指向到不同的DNS系統(tǒng)來解析互艾。

6试和、AAAA記錄 IPV6解析記錄