1、创建私有CA并进行证书申请。
第一步创建CA所需要的文件夹,
第二步生成CA所需的私钥按照要求必须放在private文件夹下,私钥的文件权限必须为600,CentOS8不用在生成私钥的明亮加umask 066,其他版本则需要!(主要为了安全)
第三步创建CA自身(颁发者)的证书(CA),分别填写了国家(CN),省(广东),市(shenzheng),公司(ruijie),部门(IT),以及服务器(ca.hanyewei.org)!
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
“openssl x509 -in cacert.pem -noout -text”第四步以文本的形式,查看证书信息!第三个图是以windows形式查看证书!
第五步给用户生成私钥和证书申请!
第六步,用app1.key私钥生成app1.csr文件!注意:默认要求 国家,省,公司名称三项必须和CA(颁发者)一致
第七步申请CA证书形成app1.crt证书文件!会报两个错,因为缺少两个文件{cat /etc/pki/CA/serial
;cat /etc/pki/CA/index.txt}cat /etc/pki/CA/serial文件记录CA证书的编号新加入一张serial里面的数值回加一并形成新的srail文件;cat /etc/pki/CA/index.txt文件记录申请者所申请CA证书的内容。
最后一步确认所颁发的信息 ,
用户申请完证书之后颁发者CA里面文件与原来的CA的文件对比!
2、总结ssh常用参数、用法。
ssh命令是ssh客户端,允许实现对远程系统经验证地加密安全访问。
ssh客户端配置文件: /etc/ssh/ssh_config
命令格式:
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
参数:
-p port #远程服务器监听的端口
-b #指定连接的源IP
-v #调试模式
-C #压缩方式
-X #支持x11转发
-t #强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh
remoteserver3
-o option 如:-o StrictHostKeyChecking=no
-i <file> #指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等
例子:
ssh -t 10.0.0.9 ssh -t 10.0.0.7
3、总结sshd服务常用参数。
(科学上网的方法不要往博客写,访问量超过一万,博客会被封。)
Port #生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者,权限等
MaxAuthTries 6 #pecifies the maximum number of authentication
attempts permitted per connection. Once the number of failures reaches half this
value, additional failures are logged. The default is 6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高速度可改为no
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups #未认证连接最大值,默认值10
Banner /path/file
#以下可以限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2
Vim /etc/ssh/sshd_config--------------------sshd文件,设置ssh空闲60s自动注销
ClientAliveInterval 60
ClientAliveCountMax 0
Service sshd restart -------------------sshd重启
4、搭建dhcp服务,实现ip地址申请分发
搭建DHCP服务器必须先关闭VMware的NAT网卡的dhcp功能否则会与搭建在CentOS8的DHCP服务器获取地址发生冲突!
yum -y install dhcp-server
并启用DHCP服务!发现报错!
cat /var/log/messages
查看日志发现,没有配置监听端口!
cat /etc/dhcp/dhcpd.conf#服务配置文件
这个时候就必须查看服务配置文件!发现里面什么都没有,不过有一条提示"/usr/share/doc/dhcp-server/dhcpd.conf.example"可以参考这个文件的内容!
将文件"/usr/share/doc/dhcp-server/dhcpd.conf.example"的内容复制件"/etc/dhcp/dhcpd.conf"下!
复制完重新启动服务发现还是出错!
继续查看日志发现"/etc/dhcp/dhcpd.conf"配置文件没有/不给这个eth0接口的网段内容/功能,DHCP即启动不了!
在配置文件"/etc/dhcp/dhcpd.conf"写入10.0.0.0的网段即eth0所在网段!可以简单的理解dhcp给本地网段提供服务了!就能开启了!
DHCP 是基于UDP协议的,端口号为67!
给10.0.0.0网段划分分配地址范围,网关为:10.0.0.2!DNS为:180.76.76.76,223.5.5.5!
next-server:提供引导文件的服务器IP地址
filename: 指明引导文件名称
next-server 10.0.0.6;#TFTP服务器地址,在10.0.0.6已经搭好了TFTP服务
filename "pxelinux.0";#bootloader启动文件的名称
dhclient -d#可以清晰看到主机获取地址的过程!
查看eth1接口获取的地址!
cat /var/lib/dhclient/dhclient.leases #查看客服端获取地址的信息!
实现地址绑定功能,将要固定分配给客户端的地址!必须将网卡的MAC地址与指定ip address进行绑定!这里绑定的是10.0.0.199的地址,在配置文件"/etc/dhcp/dhcpd.conf"进行配置!
客户端已经获取10.0.0.199的地址了!
安装不了dhcp-server去检查一下yum源有没有配置好!