1、创建私有CA并进行证书申请。
OpenCA和openssl等软件都可用于创建私有CA。下边介绍openssl创建CA。
创建CA需要两个步骤:1、生成CA私钥2、生成CA自签名证书
申请证书需要3个步骤:1、生成申请主机私钥2、利用私钥生成证书申请文件3、签署并颁发证书
具体操作如下:
安装openssl
yum -y install openssl
1、生成CA私钥
umask 066; openssl genrsa -out private/cakey.pem 2048
2、生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
查看生成的证书信息
openssl x509 -in cacert.pem -noout -text
申请证书
1、生成申请主机私钥
umask 066; openssl genrsa -out /data/test.key 2048
2、利用私钥生成证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
3、签署并颁发证书
touch /etc/pki/CA/index.txt 生成证书索引文件避免后边生成证书报错
echo 01 > /etc/pki/CA/serial 生成证书初始序号文件和序号,避免后续生成报错
openssl ca -in /data/test.csr -out /etc/pki/CA/certs/test.crt -days 3650
2、总结ssh常用参数、用法
ssh常用参数有
-p port #远程服务器监听的端口
-b #指定连接的源IP
-v #调试模式
-C #压缩方式
-X #支持x11转发
-o option 如:-o StrictHostKeyChecking=no
-i #指定私钥文件路径
-N 不执行远程命令,主要用于端口转发的情况。
-f 转入后台运行。
-L 把远程服务器的指定端口的数据转发到本地,指定端口 localport:remote_server:remote_port
-R 将本地端口数据,转发到远程服务器指定端口。
-D 配置本地动态端口转发。
3、总结sshd服务常用参数。
sshd服务端配置常用参数有:
PasswordAuthentication 是否支持密码验证
Port #SSHD监听端口号
ListenAddress ip #SSHD监听IP地址
PermitRootLogin yes #是否允许root远程ssh登录
StrictModes yes #是否检查.ssh/文件的所有者,权限等
MaxAuthTries 6 #一次SSH连接可又尝试的密码次数默认是6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #是否支持基于key验证
PermitEmptyPasswords no #是否允许空密码连接
PasswordAuthentication yes #是否支持基于用户名和密码连接
4、搭建dhcp服务,实现ip地址申请分发
dhcp搭建软件有多个,我们采用dhcp-server来搭建
yum -y install dhcp
安装后复制样例文件来修改为配置文件
cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
编辑配置文件
vi /etc/dhcp/dhcpd.conf
配置以下内容
subnet 10.0.0.0 netmask 255.255.255.0 { #定义DHCP池
range 10.0.0.100 10.0.0.200; #定义DHCP池地址范围
option routers 10.0.0.1; #定义默认网关
option domain-name-servers 114.114.114.114; #定义DNS服务器
next-server 10.0.0.8; 设置自动安装系统才需要,这是tftp服务器地址
filename "pxelinux.0"; 设置自动安装系统才需要,tftp上grub文件
}