Dnscrypt_wrapper 服務(wù)端的安裝與配置

之前我介紹了為了科學訪問互聯(lián)網(wǎng)其中非常重要的一環(huán) DnsCrypt_Proxy，這其實是客戶端。dnscrypt-proxy 安裝好后會自帶提供一些國外的公開的dnscrypt-wrapper服務(wù)，所以dnscrypt的服務(wù)端就是 dnscrypt-wrapper 。dnscrypt提供了自主搭建dnscrypt-wrapper服務(wù)的程序以及教程。 我這里就來簡要說一下 dnscrypt-wrapper 服務(wù)端的搭建用法。

前情提要：

服務(wù)端系統(tǒng)平臺：CentOS 6 x86_64

dnscrypt-wrapper版本：（官方并未指明版本號，筆者寫作的時候用的是2016.12月版）

dnscrypt更新說明：dnscrypt更新到現(xiàn)在，軟件功能已經(jīng)趨于穩(wěn)定，更新腳步也進一步放緩。

dnscrypt-proxy版本：1.4.0（目前已經(jīng)更新到了1.6+，但是新版本在EL6平臺由于依賴包比較老，所以在centos6 rhel6平臺可能需要更新系統(tǒng)依賴軟件版本，但是在EL7平臺就可以很好的安裝和運行）

開始安裝：

# dnscrypt-wrapper 依賴 libsodium 和 libevent 2 開發(fā)包，centos 6系統(tǒng)默認使用的是 libevent 1，所以需要卸載libevent 1，然后安裝libevent2
yum remove -y libevent-devel
yum install -y libevent2-devel libsodium-devel

下載 dnscrypt-wrapper
tar xvf dnscrypt-wrapper.tar.gz
cd dnscrypt-wrapper
make configure
./configure --prefix=/usr/local/dnscrypt_wrapper --datarootdir=/usr/share/ --mandir=/usr/share/man/
make install
然后更新環(huán)境變量，把 /usr/local/dnscrypt_wrapper/sbin 路徑添加到PATH變量中。

配置dnscrypt-wrapper：

1.生成公私鑰。

cd ~
mkdir dnskey
//新建一個目錄來專門存放證書
cd dnskey
dnscrypt-wrapper --gen-provider-keypair
//生成提供商密鑰對，默認為secret.key   public.key

這里系統(tǒng)會反饋一個指紋信息，這個信息就是客戶端配置時候需要的“provider_public_key”！所以一定要保存好。 該指紋信息也可以后續(xù)打?。?/p>

dnscrypt-wrapper --show-provider-publickey-fingerprint --provider-publickey-file=public.key

2.生成簽名證書

生成證書私鑰對
dnscrypt-wrapper --gen-crypt-keypair --crypt-secretkey-file=1.key
生成簽名證書，默認365天，可以使用 --cert-file-expire-days 指定有效時間
dnscrypt-wrapper --gen-cert-file --crypt-secretkey-file=1.key --provider-cert-file=1.cert

3. dnscrypt-wrapper 進程運行，監(jiān)聽一個端口，默認tcp 和 udp都是這個端口。

dnscrypt-wrapper --resolver-address=114.114.114.114:53 --listen-address=0.0.0.0:3536 \
                   --provider-name=2.dnscrypt-cert.abc.com \
                   --crypt-secretkey-file=1.key --provider-cert-file=1.cert -VV

其中的  --provider-name= 并不必要，可以隨便填寫，但注意必須是以 2.dnscrypt-cert. 開頭。

-VV 開啟詳細信息模式

-d；--daemonize  后臺運行模式

到此，dnscrypt-wrapper 服務(wù)端就準備完成了。記得第一步的 public.key 和 secret.key妥善保存。

配置 dnscrypt-proxy 客戶端：

參照我開頭提到的 第一篇文章進行配置。這里只講怎么和自建的dnscrypt服務(wù)對接。

dnscrypt-proxy --local-address=0.0.0.0:3536 \
                --provider-key=3233:0058:E78B:77BB:7683:71BD:BB72:E226:7DBC:DBC6:0473:8753:DC13:40D3:EDF5:A3BA \
                --provider-name=2.dnscrypt-cert.cbd.cn  \
                --resolver-address=12.34.56.78:443

local-address 為本地監(jiān)聽地址，接受客戶端的查詢信息。

resolver-address 為dnscrypt-wrapper 服務(wù)端的地址及端口，這里的地址不能用可解析的域名代替

provider-key 為配置dnscrypt-wrapper第一步的時候生成的公鑰指紋信息

其余配置參數(shù)在這里不再做詳解。