网络安全实验课笔记

CA证书

CA的搭建

1. 连接windows server的镜像，选择安装可选的Windows组件，在windows组件中开启应用服务器和证书服务。点击下一步。
   
2. 选择独立根，点击下一步。
   
3. 填写CA的公用名称，点击下一步。
4. 在证书颁发机构中可以查看到，在Internet 信息服务（IIS）管理器中可以看到自动生成了三个网站。
   

掌握用户申请数字证书的过程

数字证书的申请

1. 在运行中输入http://192.168.80.100/CERTSRV
2. 选择申请一个证书。
   
3. 进入申请一个证书后，选择申请高级证书，进入后点击创建并向此CA提交一个申请，进行信息的填写。
   
   
   
4. 提交后，对出现的第一个弹窗选择是，在正在创建新的RSA交换密钥弹窗中选择设置安全级别，将安全级别选为高，点击下一步。
   
5. 点击完成后会回到正在创建新的RSA交换密钥弹窗中，点击确定。
   
6. 查看证书，需点击此页面右上角的主页。
   
   

颁发等过程

1. 进人CA虚拟机
2. 找到证书颁发机构，在挂起的申请中找到刚刚申请的证书，右击选择颁发。
3. 颁发后可以在颁发的证书下查看到。
   
4. 回到xp1，点击电子邮件保护证书。
   
5. 查看到证书已颁发。
   
6. 点击安装此证书，连续的两个弹窗均选择是，可以得到下图.
   
7. 在e浏览器的属性中找到证书，点击查看，可查看到我们所得到的此证书的详细信息，如下图：
   

掌握利用数字证书进行邮件的签名和加密过程

邮箱申请和与outlock的连接

1. 先在xp1中进行邮箱的申请，在浏览器中输入http://www.yeah.net,进行邮箱申请后登录邮箱。
   
2. 在设置中找到邮箱安全设置。
   
3. 进入POP3/SMTP/IMAP，开启POP3，并记录授权密码和服务器地址。
   
4. 打开outlock，设置邮箱账户，显示名为zhang，电子邮箱地址为[email protected]。
   
   
5. 填写yeah邮箱中的pop.yeah.net和smtp.yeah.net。
   
6. 之后下一步输入邮箱密码就完成了账户设置。点击发送，输入授权密码。可以看到网易邮箱，连接成功。
   
7. 对xp2的wang做相同的操作，申请yeah邮箱，开启pop3
   ，设置outlock连接，输入授权密码。wang的网易邮箱为wang91xuelt.net。

发送邮件和进行邮件签名

1. 进入xp1的outlock中的账户，修改pop.yeah.net属性，在安全中需定证书进行绑定。
   
2. 将服务器中的发送邮件服务器选中。
   
3. 新建邮件，为xp2中的用户wang进行邮件的发送
   
4. 直接点击发送邮件。
   若出现：
   
   就是将服务器中的发送邮件服务器未选中。
5. 到xp2中的outlock中选择接受所有的邮件，查看收件箱可以看到zhang发送的邮件。
   
6. 至此实现了普通邮件的发送和接受，要发送带有签名的邮件需要再新建一个邮件，选择签名。
   
7. 点击发送，会需要输入证书的密码。
   
8. 到xp2中进行邮件接受后可以查看到zhang发送的拥有签名的邮件。
   
9. 因为xp2不信任证书颁发机构，所以有安全警告。为了使xp2信任证书颁发机构，在xp2中进入浏览器，访问http://192.168.80.100/certsrv/，进入认证机构。点击下载一个CA证书后，选择安装此CA证书链。
   
   再次打开含签名的邮件，没有安全警告了。

邮件的加密

1. 使用xp2为xp1的用户zhang发送一封加密的邮件。
   
   出现错误：
   
2. 和对xp1出现发送错误的原因一样，进入账号，查看属性在服务器中，选择我的服务器要求身份验证，点击应用确定，再次发送加密邮件。
   
3. 在xp1上进行接收。
   
4. 因为xp2上没有证书，所以只能发送加密证书，为使其能够发送签名加密的邮件，需要为其申请证书，在浏览器输入http://192.168.80.100/certsrv/，之后申请步骤与xp1的申请步骤一致。在对证书进行安装后，进入outlock的工具中账户，在属性中找到安全，进行证书的连接。创建新的邮件发送给zhang，这次签名和加密都选择。
   
5. 回到xp1进行邮件接收，可以看到这次的邮件既有签名也有加密。
   

证书的备份

证书的备份就是证书导出，在xp1中的Internet选项中找到证书选择导出，在导出时要选择“是，导出私钥“，否则以后就无法解密。注意记住设置的密码，用于在将来导入时输入。最后导出时需要输入证书的密码。

吊销证书

在CA中的证书颁发机构中的颁发证书中找到要吊销的证书，右击选择吊销，在选择了吊销原因后，这个证书就被吊销成功了。为使该证书已被吊销的信息广而告之。右击吊销的证书，在所有任务中点击发布，创建一个新的吊销列表，也就是CRL。
为使接收邮件方，在接受到邮件后进行证书的检测。在接收方的outlock的工具下找到账户， 找到安全，点击名为“高级”的按钮。选中撤销检查中的只在联机时。点击应用确定后，接收方再打开使用了吊销证书签名的邮件，将会有安全警告，提示此证书已被吊销。

遇到的问题

（1）虚拟机中的网页不能正常显示。
开始在ie中不能显示，认为是版本问题，下载了360浏览器依然有问题。但是发现了显示证书问题，开始拦截认为只要同意访问了就没有问题了。


之前担心是www.yeah.net网页本身有问题，但是通过物理机访问，发现是可以正常使用的。
解决方法：

1. 进入物理机的internet选项找到内容下的证书，全选授信任的根证书颁发机构，点击导出。
   
2. 导出证书，在弹出的证书使用向导中点击下一步。
   
3. 在导出私钥页面，选择“不，不要导出私钥”，再点击下一步。
   
4. 选择“加密消息语法标准-pkcs#7证书（.P78）©”，点击下一步。
   
5. 填写导出路径和导出后文件的名称，填写后点击下一步，就可以导出成功。
   
6. 将导出的证书，复制到虚拟机中
   进入虚拟机的Internet属性中，在内容中找到证书删除受信任的根证书颁发机构中的除了91xuelt之外的所有证书，选择导入。
   
7. 点击浏览，导入的文件。
   
8. 如果在浏览的路径中未能找到从物理机中复制而来的证书文件夹，点击选择文件类型为PKICS #7证书（.spc.p7b），就可以找到文件。选择文件后，点击下一步。
9. 

10. 选择将所有的证书放入下列存储区，并将证书存储选为受信任的根证书颁发机构。点击下一步。
    
11. 选择完成，证书导入完毕。
    
12. 导入成功
    
13. 进入浏览器再次访问www.yeah.net，可以和物理机一样正常的进行访问。