利用证书服务实现邮件加密
实验环境:
1台windows server 2003服务器和2台客户端PC
Server:dns+iis+mail(windows自带)+证书服务
域名为:wyj.com
Ip: 192.168.10.1/24
Client: outlook
PC-1: 192.168.10.10/24
PC-2:192.168.10.20/24
实验步骤:
一、安装并配置DNS、电子邮件服务、IIS服务,并测试邮件服务器是否正常使用
(1)安装DNS并测试。
图1-1-1 安装DNS、pop3、IIS服务
图1-1-2配置DNS服务,创建正向查找区域,添加相应的主机记录和邮件交换记录
图1-1-3 测试dns服务
(2)配置邮件服务器和客户端软件并测试其是否能正常收发邮件
图1-2-1添加pop3域
图1-2-2开启POP3服务,并创建u1和u2两个邮箱账号
图1-2-3 配置电子邮件客户端的显示名
图1-2-4 配置U1的电子邮件地址
图1-2-5 配置POP3和SMTP服务器地址
图1-2-6 添加邮件用户名和密码
图1-2-7 邮件客户端配置完成。U2同U1用户,(不再演示)
图1-2-8 u1用户给u2用户发送电子邮件测试它能否发送电子邮件
图1-2-9 U2收到U1发来的邮件,说明u1的SMTP没有问题,U2的pop3没有问题
图1-2-10 U2给U1发送电子邮件,U1收到U2发来的邮件。说明U2的smtp和U1的pop3没有问题。邮件服务器正常
二、安装证书服务器并
图2-1-1 打开windows 组建向导
图2-1-2选择CA的类型
图2-1-3 配置CA的识别信息。包括CA名称,有效期等
图2-1-4 配置证书服务器的数据库和日志文件保存的位置
图2-1-5 正在配置= 组建
图2-1-6证书服务器安装完成
三、客户端证书的申请与颁发,为邮件加密使用(以U1为例)
(1)为客户端申请证书
图3-1-1在U1客户端浏览器上输入“www.wyj.com/certsrv”打开证书申请界面,选择“申请一个证书”然后点击下一步
图3-1-2 选择“电子邮件保护证书”,点击下一步
图3-1-3 填写识别信息
图3-1-4 选择“提交”,点击“是”
图3-1-5 证书申请完成
(2)为客户端颁发证书
图3-2-1在证书服务器上“选择证书颁发机构”,然后选择“挂起的证书”右键单击选择客户申请,选择“所有任务”,然后选择“颁发”,将证书颁发给用户
(3)为客户端安装证书
图3-3-1在U1客户端浏览器上再次输入“www.wyj.com/certsrv”打开证书申请界面,选择“查看挂起的证书申请的状态”选择电子邮件保护证书
图3-3-2 选择安装此证书,并点击“是”
图3-3-3 再次点击“是”
图3-3-4 此时该证书已安装完成(U2用户证书颁发与U1相同,此处不在演示)
四、接下来要交换对方的公钥用于邮件加密和签名
(1)导出证书
图4-1-1 在U1的计算机上打开IE浏览器,选择“工具”----“Internet选项”----选择“内容”选项卡
图4-1-2 单击“证书”按钮,在证书对话框中选择“个人”标签,查看上面申请到的证书
图 4-1-3 选中“U1”证书,单击“导出”按钮,即打开证书导出向导
图4-1-5要了保证私钥的安全性,选择“不,不要导出私钥”
图4-1-6 选择导出的文件格式,单击“下一步“
图4-1-7 选择导出的文件路径和文件名称(此处导出到桌面,文件名为U1-public)
图4-1-8 然后单击下一步,选择“选择完成按钮“
到此处为止U1的证书公钥导出到桌面。U2用户方法好U1用户类似,此处不再演示。
(2)证书的交换
证书导出之后,可以利用发送邮件的方式将自己的公钥发送给对方
注意:在发送公钥的时候,要将公钥的文件名后缀更改为“txt“,因为在发送邮件的时如果不改文件类型,附件内容的对方将不能下载到本地。也可以将公钥打包压缩发送给对方。此处这里就不在演示。(本部分可以省略,在发送签名时,就已经将对方的公钥导入到自己的邮件客户端里)
五、测试实验
(1)将对方的证书导入到邮件客户端里
图5-1-1要进行邮件的加密,必须将对方的证书导入到邮件客户端软件里,打开outlook软件------工具------选项
图5-1-2 选择“数字标识“,单价导入按钮
图5-1-3 打开证书导入向导
图5-1-4 选择要导入的证书(这里是在U1上,应该将U2的证书导入),然后单击下一步
图5-1-5 选择证书存放的位置,默认为“证书---个人“里面,然后单击下一步
图5-1-6 选择完成按钮,证书导入完成,在在U2上将U1的证书导入,方法与U1导入U2的证书类似,此处不再演示。
(本部分可以省略,在发送签名时,就已经将对方的公钥导入到自己的邮件客户端里)
(2)测试最后的试验效果
图5-2-1 用U2用户给U2用户发送签名的文件,
图5-2-2 在U2上查看文件是否签名
图5-2-3 在U2上可以查看签名的内容。加密邮件成功
图5-2-4用U1用户给U2用户发送加密的文件
图5-2-5 ,在U2上查看文件是否加密
图5-2-6 U1可以查看加密的内容。加密邮件成功
总结:
以上是利用windows server 2003提供的证书服务实现对邮件的加密和签名,从而实现了邮件传输的安全性。除了利用证书服务对邮件进行加密外,还以利用PGP软件实现对邮件的加密。
实验完成