|
实训小组成员:AT060708肖吉泉、AT061017马龙
当您在网络上发送信息时,例如通过Internet ,这些信息可能会被未经过受权而获取、篡改或执行各种不同类型的攻击行为,而PKI(Publie Key Infrastructure, 公钥基础设施)可以确保电子邮件、电子商务交易、文件发送等各类信息发送的安全性。
使用PKI数字证书签名,可以保证通信过程的安全通信,在我们这部分实验中,完成企业CA和独立CA配置。设置企业CA的实验中,通过对电子邮件的数字签名和加密来保证邮件传输的安全;设置独立CA的实验中,通过对Web站点配制数字证书启用SSL协议,保证客户端用户在访问该网站时的通信内容是安全传输的。
2.2 实验环境说明
2.2.1 域环境要求
企业CA配置环境:
完成本次实验要求:建议使用4台计算机,如图中huayu .com域控制器安装Windows Server 2003 ,在域控制器上配置电子邮件服务器并使用DNS来解析,安装IIS服务、证书服务,配置企业根CA;huayu .com成员服务器安装企业从属CA。PC1和PC2计算机是该域内的客户端计算机,进行实验验证。实验如图:
2.2.2 工作组环境要求
独立CA配置环境:
完成本次实验要求:建议使用4台计算机,Server 01计算机安装Windows Server 2003 / Windows 2000 Server操作系统,在该服务器上安装IIS服务配置Web站点并使用DNS来解析;安装证书服务,配置独立根CA,进行证书的申请和Web站点的结合配置;Server02计算机安装Windows Server 2003 / Windows 2000 Server操作系统,安装证书服务,配置独立从属CA。PC1和PC2计算机是客户端计算机,验证使用。实验如图:
2.3 实验操作步骤
2.3.1 配置企业根CA
1.企业根CA是在域环境内配置的,需要安装活动目录,如图:
2.配置DNS服务,DNS结合Active Directory进行配制,如图:
3.配制POP3邮件服务器,需要把POP3邮件服务与Active Directory结合设置,如图:
4.创建两个邮件帐户wangzg和wensj,同时在“Active Directory 用户和计算机”选项中会自动生成可以登录的两个用户,为了实验方便建议把这两个用户加入到管理员组中,如图:
5.把PC1和PC2计算机分别添加到huayu .com域中,以PC1添加为例,如图:
 
6.在PC1登录到huayu.com内时,使用wangzg用户登录,如图:
7.在域控制器上安装“证书服务”配制企业根CA,安装过程如图:
8.安装后证书后可以在“Internet选项”—“内容”—“证书”中查看到:
9.分别在PC1、PC2计算机上使用wangzg 、wensj用户申请企业证书,如下图:
如果没有弹出“证书申请向导”对话框,只需要重新启动一下计算机,重新登录就可以了。
 
采用同样的方法在PC2计算机使用wensj用户,申请企业证书,并进行安装,这里就不再掩饰了。
10.在PC1计算机上使用wangzg用户的Outlook电子邮件客户端软件加载配制CA证书,并且给wensj用户发签名邮件。
11.在PC2计算机上使用wensj用户的Outlook电子邮件客户端软件加载配制CA证书,并且接收wangzg用户发给自己的签名邮件,在回复邮件的时候进行数字签名和加密,操作如下图:
12.在PC1计算机上使用wangzg用户接收wensj的回复邮件:
2.3.2 配置企业从属CA
1.在huayu.com域内的成员服务器上安装“证书服务”,例如在huayu .com内成员服务器(Windows 2000 Server,IP地址为192.168.1.20)上安装企业从属CA,配置如图:
2.在PC1计算机上使用liumj用户到从属CA服务器上去申请证书。(在于控制器的邮件服务内建立用户liumj,使用liumj用户到企业从属CA服务器上申请证书并进行配置,)如图:
3.打开liumj用户的Outlook电子邮件客户端软件进行设置,如图:
4.新建一封邮件发给wangzg用户,使用数字证书签名。
5.在wangzg邮件用户中接受到liumj用户的邮件
6.回复邮件,使用数字证书加密。
7.用户liumj接受回复的加密邮件。
2.3.3 配置独立根CA
1.如果网络需要DNS服务器来做解析,那么DNS服务的配置如图:
2.在Server01计算机上,先安装好IIS服务,(如果需要DNS来解析域名,需要安装DNS服务。)然后再安装“证书服务”,配置独立根CA。如图所示:
3.在Web服务器先配置Web站点www.huayu.com,再通过IE浏览器连接独立根服务器ca.huayu.com,进行证书的申请,如图:
4.在Server01计算机上,颁发Web服务器申请的证书,如图:
5.在Web服务器上安装颁发完成的服务器证书,如图:
6.在Web服务器把安装的服务器证书配置Web站点中,如图:
7.在客户端PC1计算机(IP:192.168.1.11),访问www.huayu.com网站之前也要信任证书颁发机构ca.huayu.com,配置如图:
8.PC1计算机访问www.huayu.com网站,如图:
2.3.4 配置独立从属CA
1.在Server02计算机安装独立从属CA,如图:
申请文件的路径保存好,以后要找到这个路径的文件
2.到独立根CA服务器上申请证书,如图:
3.在Server01独立根CA服务器上,颁发独立从属CA证书,如图:
4.在Server02独立从属CA服务器上,检查自己申请挂起的证书,进行安装配置,如图:
保存到桌面上
5.验证时,客户端同样可以到独立从属CA服务器申请证书,并由独立从属CA服务器颁发使用,和前面的过程是一致的。
|
