0
点赞
收藏
分享

微信扫一扫

CentOS8.0CA证书申请以及sshd,dhcp服务器

有态度的萌狮子 2022-05-06 阅读 46

1、创建私有CA并进行证书申请。

第一步创建CA所需要的文件夹,

第二步生成CA所需的私钥按照要求必须放在private文件夹下,私钥的文件权限必须为600,CentOS8不用在生成私钥的明亮加umask 066,其他版本则需要!(主要为了安全)

第三步创建CA自身(颁发者)的证书(CA),分别填写了国家(CN),省(广东),市(shenzheng),公司(ruijie),部门(IT),以及服务器(ca.hanyewei.org)!

-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

 

 “openssl x509 -in cacert.pem -noout -text”第四步以文本的形式,查看证书信息!第三个图是以windows形式查看证书!

第五步给用户生成私钥和证书申请!

第六步,用app1.key私钥生成app1.csr文件!注意:默认要求 国家,省,公司名称三项必须和CA(颁发者)一致

 

第七步申请CA证书形成app1.crt证书文件!会报两个错,因为缺少两个文件{cat  /etc/pki/CA/serial
;cat  /etc/pki/CA/index.txt}cat  /etc/pki/CA/serial文件记录CA证书的编号新加入一张serial里面的数值回加一并形成新的srail文件;cat  /etc/pki/CA/index.txt文件记录申请者所申请CA证书的内容。

最后一步确认所颁发的信息 ,

用户申请完证书之后颁发者CA里面文件与原来的CA的文件对比!

2、总结ssh常用参数、用法。

ssh命令是ssh客户端,允许实现对远程系统经验证地加密安全访问。

ssh客户端配置文件: /etc/ssh/ssh_config

命令格式

              ssh [user@]host [COMMAND]
              ssh [-l user] host [COMMAND]

参数:

           -p port #远程服务器监听的端口
           -b #指定连接的源IP
           -v #调试模式
           -C #压缩方式
           -X #支持x11转发
           -t #强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2   ssh   
            remoteserver3
           -o option   如:-o StrictHostKeyChecking=no 
           -i <file>  #指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/id_dsa, 
           ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等

例子:

ssh -t 10.0.0.9 ssh -t 10.0.0.7

 


3、总结sshd服务常用参数。
(科学上网的方法不要往博客写,访问量超过一万,博客会被封。)

Port        #生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes   #检查.ssh/文件的所有者,权限等
MaxAuthTries   6     #pecifies the maximum number of authentication 
attempts permitted per connection. Once the number of failures reaches half this 
value, additional failures are logged. The default is 6.
MaxSessions  10         #同一个连接最大会话
PubkeyAuthentication yes     #基于key验证
PermitEmptyPasswords no      #空密码连接
PasswordAuthentication yes   #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高速度可改为no

GSSAPIAuthentication yes #提高速度可改为no
MaxStartups    #未认证连接最大值,默认值10
Banner /path/file
#以下可以限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2

Vim /etc/ssh/sshd_config--------------------sshd文件,设置ssh空闲60s自动注销
ClientAliveInterval   60
ClientAliveCountMax   0
Service sshd restart -------------------sshd重启

4、搭建dhcp服务,实现ip地址申请分发

搭建DHCP服务器必须先关闭VMware的NAT网卡的dhcp功能否则会与搭建在CentOS8的DHCP服务器获取地址发生冲突!

yum -y install  dhcp-server

并启用DHCP服务!发现报错!

 

cat /var/log/messages 

查看日志发现,没有配置监听端口!

cat /etc/dhcp/dhcpd.conf#服务配置文件

 这个时候就必须查看服务配置文件!发现里面什么都没有,不过有一条提示"/usr/share/doc/dhcp-server/dhcpd.conf.example"可以参考这个文件的内容!

 将文件"/usr/share/doc/dhcp-server/dhcpd.conf.example"的内容复制件"/etc/dhcp/dhcpd.conf"下!

复制完重新启动服务发现还是出错!

继续查看日志发现"/etc/dhcp/dhcpd.conf"配置文件没有/不给这个eth0接口的网段内容/功能,DHCP即启动不了!

 

 在配置文件"/etc/dhcp/dhcpd.conf"写入10.0.0.0的网段即eth0所在网段!可以简单的理解dhcp给本地网段提供服务了!就能开启了!

DHCP 是基于UDP协议的,端口号为67!

给10.0.0.0网段划分分配地址范围,网关为:10.0.0.2!DNS为:180.76.76.76,223.5.5.5!

next-server:提供引导文件的服务器IP地址
filename: 指明引导文件名称

next-server 10.0.0.6;#TFTP服务器地址,在10.0.0.6已经搭好了TFTP服务
filename "pxelinux.0";#bootloader启动文件的名称

 

dhclient -d#可以清晰看到主机获取地址的过程!

 查看eth1接口获取的地址!

cat /var/lib/dhclient/dhclient.leases #查看客服端获取地址的信息!

实现地址绑定功能,将要固定分配给客户端的地址!必须将网卡的MAC地址与指定ip address进行绑定!这里绑定的是10.0.0.199的地址,在配置文件"/etc/dhcp/dhcpd.conf"进行配置!

 

客户端已经获取10.0.0.199的地址了!

安装不了dhcp-server去检查一下yum源有没有配置好!

举报

相关推荐

0 条评论