DNS
域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。
域名是一个具有层次的结构,从上到下一次为根域名、顶级域名、二级域名、三级域名
例如www.baidu.com,www为三级域名、baidu为二级域名、com为顶级域名。
域名查询方式
迭代与递归,如图所示。
迭代的方式可以减轻根域名服务器压力。
缓存
本地:1. 浏览器缓存 2.操作系统缓存
浏览器自身的DNS缓存:缓存时间比较短,大概只有1分钟,且只能容纳1000条缓存
没有找到会查询操作系统缓存,如host文件
服务器:高速缓存,例如本地服务器查询后在缓存中存放上次查询结果。适用于多级服务器。
域名服务器应为每项内容设置计时器并删除超过合理时间的项
好处:增加此时间值可减少网络开销,而减少此时间值可提高域名解析的正确性(域名很少修改)
流程
记录方式
A
www.example.com. IN A 139.18.28.5;
IN 代表记录用于互联网
A代表Address 地址,证明是域名和IP映射的关系
CNAME
a.example.com. IN CNAME b.example.com.
CNAME 别名 a地址是b地址的别名
需要实际地址时b.example会去获取A记录
AAAA
A 记录是域名和 IPv4 地址的映射关系。和 A 记录类似,AAAA 记录则是域名和 IPv6 地址的映射关系
MX
MX 记录是邮件记录,用来描述邮件服务器的域名。
NS
NS(Name Server)记录是描述 DNS 服务器网址。从 DNS 的存储结构上说,Name Server 中含有权威 DNS 服务的目录。也就是说,NS 记录指定哪台 Server 是回答 DNS 查询的权威域名服务器。
当一个 DNS 查询看到 NS 记录的时候,会再去 NS 记录配置的 DNS 服务器查询,得到最终的记录。如下面这个例子
a.com. IN NS ns1.a.com
a.com. IN NS ns2.a.com.
当解析 a.com 地址时,我们看到 a.com 有两个 NS 记录,所以确定最终 a.com 的记录在 ns1.a.com 和 ns2.a.com 上。从设计上看,ns1 和 ns2 是网站 a.com 提供的智能 DNS 服务器,可以提供负载均衡、分布式 Sharding 等服务。比如当一个北京的用户想要访问 a.com 的时候,ns1 看到这是一个北京的 IP 就返回一个离北京最近的机房 IP。
上面代码中 a.com 配置了两个 NS 记录。通常 NS 不会只有一个,这是为了保证高可用,一个挂了另一个还能继续服务。通常数字小的 NS 记录优先级更高,也就是 ns1 会优先于 ns2 响应。配置了上面的 NS 记录后,如果还配置了 a.com 的 A 记录,那么这个 A 记录会被 NS 记录覆盖。
CDN
如果尝试访问地球另一端的网站,则加载时间将比在您所在城市或国家/地区托管的网站上花费更长的时间。甚至可能会丢失。这种情况下又需要重复发送。
CDN 也是现在互联网中的一项重要基础设施,除了基本的网络加速外,还提供负载均衡、安全防护、边缘计算、跨运营商网络等功能,能够成倍地“放大”源站服务器的服务能力,很多云服务商都把 CDN 作为产品的一部分
CDN 涉及一组分布在一个区域内的服务器。它们可以是全局的或本地的,只要它们实际覆盖用户最有可能请求内容的区域。内容提供商会将内容上传到他们的服务器,然后它会自动将该数据传播到 CDN 网络上的其他节点。CDN 服务器通常通过快速的互联网骨干连接相互连接,因此在它们之间转移大量数据只需几秒钟。
区域就近,非必须。
证书
https://letsencrypt.org/zh-cn/ 免费非盈利性证书网站
一般指SSL证书
数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA(如GlobalSign,wosign),在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
主要提供数据加密和身份认证功能
操作流程
用户连接到你的Web站点,该Web站点受服务器证书所保护。
你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。
用户的网页浏览器程序产生一把唯一的“会话钥匙码,用以跟网站之间所有的通讯过程进行加密。
使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码
CA
即证书授权中心(CA, Certificate Authority)。CA是负责签发证书、认证证书、管理已颁发证书的机关。用户向CA提出申请后,CA负责审核用户信息,然后对关键信息利用私钥进行”签名”,并公开对应的公钥。客户端可以利用公钥验证签名。
种类
1.域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;
2.企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书,叫EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,所以认证也最严格。
申请SSL证书主要需要经过以下3个步骤:
制作CSR文件。CSR就是Certificate Signing Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。
CA认证 将CSR提交给CA
-
证书的安装
收到CA的证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。
客户端证书与服务端证书
客户端证书用于验证客户/个人用户身份
服务器证书用于验证站点所有者身份
公钥私钥传输过程
生成一对公钥和私钥
公钥发出的消息只能由私钥解密,只要私钥不泄露,信息就是安全的
回复消息时,对数据进行Hash函数加密生成摘要,然后使用私钥对摘要加密就是 数字签名
信息本身没有加密
公钥方对数据签名解密可以确定信息是私钥本人发送的。
然后对信息本身进行hash加密 ,如果加密结果和使用公钥解密的结果相同则证明没有被修改。