对DNS主从服务器进行key认证

在配置DNS主从服务器同步的时候，bind服务默认是允许任何人进行同步的，但是这样容易造成安全隐患。bind服务支持通过限制IP和key认证两种方式来对同步的来源Ip进行限制，限制IP的方法已经在此前的文章中演示多次，因此本文着重描述如何使用key认证来限制从服务器的来源。

本次实验我使用了两台虚拟机进行测试，分别是：

相关的主从服务器的配置此处不多细说，可参考我此前的文章； https://wwwjianshucom/p/e8b5866802d1

在DNS主服务器上生成认证key：

编辑/etc/namedconf文件：

编辑/etc/namedrfc1912zones文件：

随后分别创建/var/named/handwellcomzone和/var/named/1888888zone文件：

随后检查相关的配置文件，如无报错后，重新加载named服务即可：

此时没通过key认证的服务器尝试来同步相关的区域数据时，通过systemctl status named 或查看 /var/log/messages日志可看到以下的拒绝报错：

或者如果从服务器的认证key不正确，也会出现以下报错：

编辑从服务器的/etc/namedconf 文件：

编辑/etc/namedrfc1912zones文件：

配置完成后，验证检查相应的配置文件后重启服务即可：

此时查看对应的日志文件应能看到相应的同步信息如：

服务器证书是SSL数字证书的一种形式，意指通过提交数字证书来证明您的身份或表明您有权访问在线服务。再者简单来说，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。然而，并不是所有网站都需要添加服务器证书，但强烈建议只要是与用户、服务器进行交互连结操作，以及涉及到密码、隐私等内容的网站页面，都申请服务器安全认证证书。

安全认证服务器由安全管理员或网络管理员进行管理，主要用于：

向授权合法个人用户签发令牌。

设置并实施安全策略, 保护专用网络系统、文件及应用的访问。

创建用户访问日志。

定义和报告报警情况,如某个网络端口访问失败重试次数。

安全认证服务器支持各种服务器平台。一个安全认证服务器可以提供每秒2000-2500次的认证速度，可以为2000 万个以上的用户提供保护, 具体取决于服务器的容量。

安全认证服务器拥有先进的管理及安全监控能力，包括授予各种管理任务级别、从Windows 桌面对系统实施远程管理等。

服务器证书简称SSL证书，证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。经过身份验证的SSL证书包含企业身份信息，网民可以查看该证书判断网站身份。如果你的客户来自国外，如果由于客户不信任你的SSL证书，造成对网站的不信任，最终白白流失交易量就得不偿失了。所以最好选择大品牌的、知名度较高的SSL证书产品，如VeriSign。SSL证书签发一般由当地服务机构负责签发证书，在中国境内， VeriSign证书超过95%的证书由天威诚信代为签发。据统计全球，仅VeriSign SSL证书签发量就超过400万张。

天威诚信的TA（Trust Access）可以实现服务器和用户端的双向认证，原理如下

在网站服务器端，通过部署服务器证书，使用户在登录网站的时候可以通过明显的浏览器地址栏右侧的显示框看到网站域名被验证通过的信息，并且可以通过点击验证网站的真实信息；同时利用服务器证书的密码机制将网站服务器与访问者浏览器之间传输的信息进行全程加密。

在访问者用户端，将捆绑了用户信息的数字证书存储于高度安全的天威盾中，在用户访问应用服务器时，服务端要求用户端出示身份证书，并验证用户真实身份，确认是经过授权的用户后才允许访问网站敏感信息。

追求高强度信息安全的用户，如提供信息检索、网络购物、电子支付、网络社区、网络游戏、网络视频等的网络服务提供商，均可以通过使用TA（Trust Access）在服务器端部署服务器证书，在用户端使用个人证书来完成受访网站及访问者之间的双向认证，保证访问链接行为是经过双方授权的，最大程度的保护传输数据的安全和用户隐私信息的安全，有效避免假冒网站及虚假用户的冒充及骗取行为。

您好！感谢您选择惠普产品

告诉您个好方法，惠普服务器方面的问题您可以尝试打开下面的网址，选择所使用的产品类型（服务器及存储设备）然后点击相应的产品前的+号，再点击选择登录聊天室进行咨询即可，这里的工程师很专业的： http://wwwhpcomcn/chat

希望以上回复能够对您有所帮助。 更多产品信息资讯尽在 wwwhpcomcn/800