记一次阿里云配置二级域名经历,及申请免费非工作用途SSL证书

旧城冷巷雨未停 提交于 2019-12-02 04:17:52

由于工作需要,需要在公司顶级域名下建立二级域名,公司服务器为阿里云下云服务器。

但是自己之前根本没有此类基础,因此对域名相关知识,进行了相关了解,大多数为百度百科内容。

一,域名相关了解

这里摘录的为百度百科内容,若只想知道相关操作,请直接翻阅第二章

任务内容:

阿里云2服务器目前是IP访问,并且只提供了http方式,作为对外演示服务来说,体验感受不好。

现需作如下处理与配置:

1,为阿里云2服务器访问配置二级域名。 域名可在工作群里商量拟定。

2,选购数字证书。(阿里云或腾讯云好象有免费数字证书可以申请,也可以先试试)

3,为阿里云2服务器以及绑定的域名处理备案。

4,在阿里云2服务器上配置nginx https服务(配置数字证书)转发请求到TOMCAT,浏览器可以用https+域名地址访问决策引擎服务。

 

任务重点:

1,域名解析

2,httphttps的区别及配置

 

一,准备工作--域名设置

1,域名

名词简介

域名

域名(英语:Domain Name),简称域名网域,是由一串用点分隔的名字组成的Internet上某一台计算机计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。

 

网域名称系统(DNS,Domain Name System,有时也简称为域名)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP地址数串。

例如,www.wikipedia.org是一个域名,和IP地址208.80.152.2相对应。DNS就像是一个自动的电话号码簿,我们可以直接拨打wikipedia的名字来代替电话号码(IP地址)。我们直接调用网站的名字以后,DNS就会将便于人类使用的名字(如www.wikipedia.org)转化成便于机器识别的IP地址(如208.80.152.2)。

域名服务器

主条目:名称服务器

 

这种管理名字的方法是:分不同的组来负责各子系统的名字。系统中的每一层叫做一个域,每个域用一个点分开。所谓域名服务器(即Domain Name Server,简称Name Server、DNS)实际上就是装有域名系统的主机。它是一种分层结构数据库,能够执行名字解析(name resolution)。

 

DNS可以允许一个名称服务器把他的一部分名称服务(众所周知的zone)“委托”给子服务器,从而实现一种层次结构的名称空间。此外,DNS还提供了一些额外的信息,例如系统别名、联系信息以及哪一个主机正在充当系统组或域的邮件枢纽。

 

当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。域名同时也仅限于ASCII字符的一个子集,这使得很多其他语言无法正确表示他们的名字和单词。基于Punycode码的IDNA系统,可以将Unicode字符串映射为有效的DNS字符集,这已经通过了验证并被一些注册机构作为一种变通的方法所采纳。

 

另外,在域名中大小写是没有区分的。域名一般不能超过5级,从左到右域的级别变高,高的级域包含低的级域。域名在整个Internet中是唯一的,当高级子域名相同时,低级子域名不允许重复。一台服务器只能有一个IP地址,但是却可以有多个域名。

 

任何一个使用IP的计算机网络可以使用DNS来实现他自己的私有名称系统。尽管如此,当提到在公共的Internet DNS系统上实现的域名时,术语“域名”是最常使用的。

 

这是基于13个全球范围的“根服务器”,其维护组织除了当中的3个以外,其他都位于美国。从这13个根服务器开始,余下的Internet DNS命名空间被委托给其他的DNS服务器, 这些服务器提供DNS名称空间中的特定部分。

 

一个域名的“所有者”可以通过查询whois数据库而被找到;对于大多数gTLD,基本的WHOIS由ICANN维护,而WHOIS的细节则由控制那个域的域注册机构维护。至于有240个以上的国家域名(ccTLDs)的域注册由相应的国家维护其WHOIS。

 

当前对于DNS系统的控制方式,常常受到指责。最常被攻击的焦点是垄断企业或准垄断企业对DNS的滥用,例如VeriSign公司,以及对于顶级域名的分配。

 

也有些人宣称很多DNS服务器软件无法在动态IP分配上很好的工作,尽管这是某些特定实现的失败而非协议本身的问题。

 

DNS使用TCPUDP端口53。

 

 

种类

顶级域名

主条目:顶级域名国际顶级域名

 

英语:Top-level domains,first-level domains(TLDs),也翻译为国际顶级域名。

 

通用顶级域名主条目:通用顶级域

 

·  通用顶级域

无赞助:.biz .com .edu .gov .info .int .mil .name .net .org .pro .xyz

赞助:.aero .cat .coop .jobs .museum .travel .mobi .asia .tel .xxx

基本架构:.arpa .root .tel

审批阶段:.post

申请阶段:.geo .kid .mail .sco .web

删除/退休:.nato

预留:.example .invalid .localhost .test

伪域名:.bitnet .csnet .local .onion .uucp Others

 

下面是现在使用中的通用顶级域(加上.arpa,有时被认为是通用顶级域之一):通用顶级域在1985年1月创立,当时共有6个通用顶级域,主要供美国使用:

域名、创建时间、使用范围说明

.com- 供商业机构使用,但无限制最常用,被大部分人熟悉和使用

.net- 1985年1月,原供网络服务供应商使用,现无限制

.org- 1985年1月,原供不属于其他通用顶级域类别的组织使用,现无限制

.edu / .gov / .mil- 1985年1月,供美国教育机构/美国政府机关/美国军事机构。因历史遗留问题一般只在美国专用

 

国家地区代码顶级域名主条目:国码顶级域名

ccTLDs, country code top-level domain,国家域名)一般是基于ISO-3166的两字母。两个字的后缀表示该域所在的国家或地区,例如:cn(中国大陆)、de(德国)、eu(欧盟)、jp(日本)、hk(香港)、tw(台湾)、uk(英国)、us(美国)。(依字母顺序)

 

.cn代表中国,以.cn结尾即中国国内域名,适用于其国内各机构、企业,常称为英文国内顶级域名,.CN类英文域名。1997年12月31日诞生并开通。注册局为CNNIC。按国家规定划分六类二级域名,后缀:
  .com.cn .net.cn .org.cn .gov.cn .edu.cn。现在已开放.cn二级域名注册。

 

 

其它级别域名

除了顶级域名,还有二级域名(SLD,second-level domain),就是最靠近顶级域名左侧的字段。如:zh.wikipedia.org中,wikipedia就是二级域名(有资料认为, 在顶级域名后面, 还存在一级域名, 那么zh就是二级域名)。

 

再下来就是三级域名,即最靠近二级域名左侧的字段,从右向左便可依次有四级域名、五级域名等等。举个正在使用中的三级域名的实例,www.ncic.ac.cn,其中www前缀表明此域名对应着万维网服务,每一级域名由英文半角句号分区,“ncic”作为三级域名是“ac.cn”的子域名。

2,域名注册

域名的注册依管理机构之不同而有所差异。

 

一般来说,gTLD域名的管理机构,都仅制定域名政策,而不涉入用户注册事宜,这些机构会将注册事宜授权给通过审核的顶级注册商,再由顶级注册商向下授权给其它二、三级代理商。

 

ccTLD的注册就比较复杂,除了遵循前述规范外,部分国家如前述将域名转包给某些公司管理(如西萨摩亚ws),亦有管理机构兼顶级注册机构的状况:(如南非za)。

 

各种域名注册所需资格不同,gTLD除少数例外(如travel)外,一般均不限资格;而ccTLD则往往有资格限制,甚至必需缴验实体证件。

 

一个域名的所有者可以通过查询WHOIS数据库而被找到;对于大多数根域名服务器,基本的WHOIS由ICANN维护,而WHOIS的细节则由控制那个域的域注册机构维护。注册域名之前可以通过Whois查询提供商了解域名的注册情况。对于240多个国家代码顶级域名(ccTLDs),通常由该域名权威注册机构负责维护WHOIS。

一般来说.com注册用户为公司或企业,.org为社团法人,.edu为学校单位,.gov为政府机构。

 

域名的注册遵循先申请先注册为原则,管理认证机构对申请企业提出的域名是否违反了第三方的权利不进行任何实质性审查。在中华网库每一个域名的注册都是独一无二、不可重复的。因此在网络上域名是一种相对有限的资源,它的价值将随着注册企业的增多而逐步为人们所重视。

 

在新的经济环境下,域名所具有的商业意义已远远大于其技术意义,而成为企业在新的科学技术条件下参与国际市场竞争的重要手段 ,它不仅代表了企业在网络上的独有的位置 ,也是企业的产品、服务范围、形象商誉等的综合体现,是企业无形资产的一部分。同时,域名也是一种智力成果。

 

域名注册早期很多都不是实时注册的,直接提交域名注册查询都是实时结算、实时注册成功。这种实时性主要是应对越来越严重的域名抢注现象。域名注册的所有者都是以域名注册提交人填写域名订单的信息为准的,成功24小时后,即可在国际(ICANN)、国内(CNNIC)管理机构查询whois信息(whois信息就是域名所有者等信息)。

 

1、可以包含英文字母(a-z,不区分大小写)、数字(0-9),以及半角的连接符“-”(即中横线),不能使用空格及特殊字符(如!、$、&、?等);
2、“-”不能连续出现,不能单独注册,也不能放在开头或结尾;
3、最多可以注册63个字符。

申请步骤

1、准备申请资料:com域名无需提供身份证、营业执照等资料,cn域名已开放个人申请注册,所以申请则需要提供身份证或企业营业执照

2、寻找域名注册网站,推荐谷谷互联,由于.com、.cn域名等不同后缀均属于不同注册管理机构所管理,如要注册不同后缀域名则需要从注册管理机构寻找经过其授权的顶级域名注册服务机构。如com域名的管理机构为ICANN,cn域名的管理机构为CNNIC(中国互联网络信息中心)。若注册商已经通过ICANN、CNNIC双重认证,则无需分别到其他注册服务机构申请域名。

3、查询域名:在域名注册查询网站注册用户名成功后并查询域名,选择您要注册的域名,并点击注册。

4、正式申请:查到想要注册的域名,并且确认域名为可申请的状态后,提交注册,并缴纳年费。

5、申请成功:正式申请成功后,即可开始进入DNS解析管理、设置解析记录等操作。

域名备案

1、针对有网站的域名。(没有网站的域名不需要备案)

2、到国家信息产业部提交网站的相关信息。

域名备案的目的就是为了防止在网上从事非法的网站经营活动,打击不良互联网信息的传播,如果网站不备案的话,很有可能被查处以后关停。根据中华人民共和国信息产业部第十二次部务会议审议通过的《非经营性互联网信息服务备案管理办法》精神,在中华人民共和国境内提供非经营性互联网信息服务,应当办理备案!未经备案,不得在中华人民共和国境内从事非经营性互联网信息服务。而对于没有备案的网站将予以罚款或关闭。备案是指向主管机关报告事由存案以备查考。行政法角度看备案,实践中主要是《立法法》和《法规规章备案条例》的规定。

3,域名解析

注册了域名之后如何才能看到自己的网站内容,用一个专业术语就叫“域名解析”。在相关术语解释中已经介绍,域名和网址并不是一回事,域名注册好之后,只说明你对这个域名拥有了使用权,如果不进行域名解析,那么这个域名就不能发挥它的作用,经过解析的域名可以用来作为电子邮箱的后缀,也可以用来作为网址访问自己的网站,因此域名投入使用的必备环节是“域名解析”。域名是为了方便记忆而专门建立的一套地址转换系统,要访问一台互联网上的服务器,最终还必须通过IP地址来实现,域名解析就是将域名重新转换为IP地址的过程。一个域名只能对应一个IP地址,而多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS)来完成。域名转换成IP地址,域名是一个世界。在数千台服务器的分布式分层目录服务,管理互联网的名字空间这个命名空间划分成所谓的区域,每个独立的管理员负责。对于本地要求 - 如在一个公司内的网络 - 它是一个独立的操作也可以从因特网的DNS。

解析原理

要明白为什么域名解析需要这么长时间,就需要了解域名解析过程和DNS服务器的作用。

互联网上的每一台电脑都被分配一个IP地址,数据的传输实际上是在不同IP地址之间进行的。包括我们在家上网时使用的电脑,在连上网以后也被分配一个IP地址,这个IP地址绝大部分情况下是动态的。也就是说你关掉调制解调器,在重新打开上网,你的上网接入商会随机分配一个新的IP地址。

网站服务器本质上也是台连上网的电脑,只不过配置上更适合作为服务器,并且放在数据中心,保持低温,低尘环境,同时有安全保卫。这些服务器使用固定IP地址连入互联网。一个域名解析到某一台服务器上,并且把网页文件放到这台服务器上,用户的电脑才知道去哪一台服务器获取这个域名的网页信息。这是通过域名服务器来实现的。

当一个浏览者在浏览器地址框中打入某一个域名,或者从其他网站点击了链接来到了这个域名,浏览器向这个用户的上网接入商发出域名请求,接入商的DNS服务器要查询域名数据库,看这个域名的DNS服务器是什么。然后到DNS服务器中抓取DNS记录,也就是获取这个域名指向哪一个IP地址。在获得这个IP信息后,接入商的服务器就去这个IP地址所对应的服务器上抓取网页内容,然后传输给发出请求的浏览器。

解析设置

A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置您域名的二级域名

必须需要到注册商的域名管理界面去设置成正确的有效稳定的DNS。在注册商修改DNS可能需要12-72小时才能反映在根服务器上。TTL值全称是“生存时间(Time To Live)”,简单的说它表示DNS记录在DNS服务器上缓存时间。

MX记录也叫做邮件路由记录,用户可以将该域名下的邮件服务器指向到自己的mail server上,然后即可自行操控所有的邮箱设置,只需在线填写您服务器的IP地址,即可将您域名下的邮件全部转到您自己设定相应的邮件服务器上。

CNAME记录是别名记录。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。

 

二,任务解决步骤--阿里云服务器上二级域名设置

人工服务上所回答:

提问:

我在贵公司有两台服务器,其中一台启用现在的域名(已经在阿里云备案),现在想创建二级域名,指向另一台新的服务器,请问二级域名是否需要备案,且有什么注意事项?

 

1,登录管理控制台,找到“云解析”中“域名列表解析”

 

2,点击下图中“解析设置”

 

3,点击下图红框中“添加解析”

 

4,完成以下配置

 

纪录类型:A

主机纪录:二级域名;

解析路线:默认;

记录值:目标IP

TTL值:;10分钟。

现在有一个用户在访问www.enkj.com时,网络服务商的DNS就会试图为用户解析www.enkj.com,当然网络服务商这台DNS服务器并没有包含www.enkj.com这条信息,因此无法立即解析,但是通过全球DNS的递归查询后,最终定位到www.enkj.com这台DNS服务器对应的IP地址为1.1.1.1并将结果告诉告诉网络服务商的DNS服务器,然后再由 网络服务商告诉用户结果。

 

网络服务商为了以后加快对www.enkj.com这条记录的解析,就将刚才的1.1.1.1结果保留一段时间,这段时间就是TTL值,在这段时间内如果用户又有对www.enkj.com这条记录的解析请求,它就直接告诉用户IP地址为1.1.1.1,当TTL到期则又会重复上面的过程。

 

TTL大了,修改解析后等待生效的时间就会越长,TTL小了,域名解析的稳定性和解析速度就会受到影响

 

点击“确认”。

 

三,准备工作--httphttps的区别及配置

名词解释:

https

在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层。从发送端看,这一层负责把http的内容加密后送到下层的TCP,从接收方看,这一层负责将TCP送来的数据解密还原成http的内容。

SSL

是Netscape公司设计的主要用于WEB的安全传输协议。从名字就可以看出它在https协议栈中负责实现上面提到的加密层。因此,一个https协议栈大致是这样的:

 

数字证书

一种文件的名称,好比一个机构或人的签名,能够证明这个机构或人的真实性。其中包含的信息,用于实现上述功能。

加密和认证

加密是指通信双方为了防止敏感信息在信道上被第三方窃听而泄漏,将明文通过加密变成密文,如果第三方无法解密的话,就算他获得密文也无能为力;认证是指通信双方为了确认对方是值得信任的消息发送或接受方,而不是使用假身份的骗子,采取的确认身份的方式。只有同时进行了加密和认真才能保证通信的安全,因此在SSL通信协议中这两者都被应。

 

四,任务解决步骤--阿里云服务器上数字证书获取

1,登录“管理控制台”,找到“安全”项下“CA证书服务”

 

在右上角有如下图,点击“购买证书”:

 

2,购买“免费证书”

 

点击“立即购买”。

3,点击“去支付”

 

4,剩下步骤依次按照提示完成

5,在完成申请后,若“证书状态”为“待审核”,则需要等待,若“证书状态”为“已签发”,则证书可用,点击下载

 

6,得如图下所示,点击第一个红框则为下载操作,下面的说明即为操作步骤

 

7,在需安装数字证书服务器上的nginx安装目录下创建文件夹“cert

mkdir /etc/nginx/cert   (此为默认安装目录)

8,将解压的文件上传至cert文件夹下

9,修改nginx.conf文件

找到相关内容如下:

# HTTPS server

# #server {

# listen 443;

# server_name localhost;

# ssl on;

# ssl_certificate cert.pem;

# ssl_certificate_key cert.key;

# ssl_session_timeout 5m;

# ssl_protocols SSLv2 SSLv3 TLSv1;

# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

# ssl_prefer_server_ciphers on;

# location / {

#

#

#}

#

将以下内容写入与其相当的位置

server {

    listen 443;

    server_name localhost;

    ssl on;

    root html;

    index index.html index.htm;

    ssl_certificate   cert/214652882300949.pem;

    ssl_certificate_key  cert/214652882300949.key;

    ssl_session_timeout 5m;

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_prefer_server_ciphers on;

    location / {

        root html;

        index index.html index.htm;

    }

}

10,重启nginx

nginx -s reload

11,将443端口放入防火墙允许列表(我方系统为centos7,默认自带下方防火墙软件)

firewall-cmd --zone=public --add-port=443/tcp --permanent

firewall-cmd --reload

 


易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!