实战:在电子邮件中使用数字签名和加密

4.1 实战:在电子邮件中使用数字签名和加密

实验目的:

ü 在CAServer上安装和配置独立CA

ü 在MailServer上安装和配置pop3和SMTP服务

ü 在MailServer上创建邮箱[email protected][email protected]

ü 在zhangPC上下载CAServer证书颁发机构证书并添加到受信任的根证书颁发机构

ü 在wangPC上下载CAServer证书颁发机构证书并添加到受信任的根证书颁发机构

ü 在zhangPC计算机上为邮箱[email protected]申请电子邮件证书

ü 在CAServer上颁发数字证书

ü 查看电子邮件证书信息

ü 在zhangPC上配置Windows Mail使用申请的证书

ü Zhang向Wang发送签名电子邮件

ü Wang向zhang发送加密电子邮件

ü 在zhangPC上查看加密的电子邮件

ü 在CAServer上吊销zhang的电子邮件证书并发布证书吊销列表(CRL)

ü 使用Windows Mail打开zhang发送的数字签名的电子邮件,检查数字证书的吊销情况

clip_image001

实验环境:

ü CAServer安装Windows Server 2008企业版,安装独立的证书颁发机构。

ü MailServer安装Windows Server 2003企业版,安装POP3邮件服务和SMTP服务。

ü zhangPC安装Vista企业版。

ü wangPC安装Vista企业版。

4.1.1 在CAServer上安装独立的证书颁发机构

证书服务是包括在Windows Servers 2008服务器产品中的一种服务,但是默认情况下并不安装它。可以在安装Windows Servers 2008过程中或在安装了Windows Servers 2008之后安装证书服务。

注意:在安装了证书服务之后不能重新命名计算机,也不能将计算机加入到某个域中或从某个域中删除。如果要执行这类操作,必须从该计算机中删除证书服务。

任务:

ü 在CAServer上安装独立的证书服务

ü 查看安装证书服务过程中自动创建的证书申请网站

步骤:

1. 在CAServer上,以管理员登录。

2. 点击clip_image002,打开服务器管理器,点击“添加角色”。

3. 在选择服务器角色对话框,选中“Active Directory证书服务”,点击“下一步”。

clip_image003clip_image004

4. 在出现的Active Directory证书服务简介,点击“下一步”。

5. 在选择角色服务对话框,选中“证书颁发机构”和“证书颁发机构Web注册”,在出现的选择添加角色向导对话框,点击“添加必须的角色服务”。

clip_image005clip_image006

6. 在选择角色服务对话框,选中“联机响应程序”,点击“下一步”。

7. 在指定安装类型对话框,选择“独立”,点击“下一步”。因为CAServer在工作组中,因此“企业”不可选。

clip_image007clip_image008

8. 在指定CA类型对话框,选择“根”,点击“下一步”。

9. 在设置私钥对话框,选择“新建私钥”,点击“下一步”。

clip_image009clip_image010

10. 在为CA配置加密对话框,保持默认设置,点击“下一步”。

11. 在配置CA名称对话框,保持默认的CA的公用名称,点击“下一步”。

clip_image011clip_image012

12. 在有效期对话框,保持默认的5年有效期,点击“下一步”。

13. 在配置证书数据库对话框,保持证书数据库默认位置和证书数据库日志位置,点击“下一步”。

clip_image013clip_image014

14. 在Web服务器(IIS)对话框,点击“下一步”。

15. 在选择角色服务对话框,保持默认选择,点击“下一步”。

clip_image015clip_image016

16. 在确认安装选择对话框,点击“安装”。

17. 在安装结果对话框,点击“关闭”。完成独立CA的安装

clip_image017clip_image018

18. 点击“开始”à“程序”à“管理工具”à“Internet 信息服务(IIS)管理器”,打开Web站点管理工具。可以看到默认的web站点下有一个CertSrv虚拟站点,用户访问该虚拟站点申请证书和下载证书以及下载CA证书。

clip_image019

4.1.2 在MailServer上安装和配置邮件服务

任务:

ü 在MailServer上安装pop3邮件服务和SMTP邮件服务。

ü 配置pop3服务器创建域名和邮箱

ü 配置SMTP服务器允许将邮件转发到*.com和*.net域

ü 在Pop3上创建ess.com域和创建邮箱[email protected][email protected]

步骤:

1. 在MailServer上,以管理员身份登录。

2. 点击“开始”à“设置”à“控制面板”,点击“添加或删除程序”。

3. 在出现的添加或删除程序对话框,点击“添加/删除Windows组件”。

clip_image020clip_image021

4. 在出现的Windows组件对话框,选中“电子邮件服务”即pop3服务,点击“下一步”。

5. 选中“应用程序服务器”,点击“详细信息”。

clip_image022clip_image023

6. 在出现的应用程序服务器对话框,选中“Internet信息服务(IIS)”,点击“详细信息”,选中“SMTP Service”,点击“确定”。

clip_image024clip_image025

7. 在“Windows组件”对话,点击“下一步”。

8. 在安装过程中,出现提示对话框要求插入Windows安装盘。

clip_image026clip_image027

9. 如图,点击“VM”à“Removable Devices”à“CD-ROM”à“Edit”。

10. 在出现的CD-ROM对话框,选择“Use ISO image”,点击“Browse”,浏览到Windows Server 2003 sp2的ISO,点击“OK”。

clip_image028 clip_image029

11. 安装完成后点击“完成”。

12. 点击“开始”à“程序”à“程序”à“POP3 服务”,打开pop3服务管理工具,点击“新域”。

clip_image030clip_image031

13. 在出现的添加域对话框,在域名输入“ess.com”,点击“确定”。

14. 点中ess.com,点击“添加邮箱”。

clip_image032clip_image033

15. 在出现的添加邮箱对话框,输入邮箱名zhang,选中“为此邮箱创建相关的用户”,输入密码,点击“确定”。

16. 在出现的成功添加了邮箱提示对话框,注意观察用户名和邮件服务器名,点击“确定”。

clip_image034clip_image035

17. 再次点击“添加邮箱”,在出现的添加邮箱对话框,输入邮箱名wang,选中“为此邮箱创建相关的用户”,输入密码,点击“确定”。

18. 在出现的成功添加了邮箱提示对话框,注意观察用户名和邮件服务器名,点击“确定”。

clip_image036clip_image037

19. 点击“开始”à“程序”à“管理工具”à“Internet 信息服务(IIS)管理器”,打开Internet信息服务管理工具。

20. 如图,右击“默认SMTP虚拟服务”下的域,点击“新建”à“域”。

21. 在出现的新建SMTP域向导,指定域类型选择“远程”,点击“下一步”。

clip_image038clip_image039

22. 在域名对话框,如果只允许向inhe.net域名中继邮件,输入“inhe.net”,如果您打算让你的邮件服务器能够向Internet上所有net域名中继邮件输入“*.net”。在这里输入“*.net”,点击“完成”。

23. 右击“*.net”,点击“属性”。

clip_image040clip_image041

24. 在*.net属性对话框,选中“允许将传入的邮件中继到此域”,点击“确定”。

25. 依照上面的方法,可以创建“*.com”远程域,然后配置*.com域,允许将传入的邮件中继到此域。

clip_image042clip_image043

4.1.3 在zhangPC上下载并信任证书颁发机构证书

任务:

ü 调整IE浏览器可信站点安全级别

ü 将证书颁发机构的网站添加到受信任的站点

ü 下载CAServer-CA证书颁发机构的证书

ü 将CAServer-CA证书颁发机构的证书导入到受信任的证书颁发机构

步骤:

1. 在zhangPC上,右击IE浏览器图标,点击“属性”。

2. 在Internet属性对话框的安全标签下,点中“可信站点”,将该区域的安全级别设置为“低”,点击“站点”按钮。

clip_image044clip_image045

3. 输入http://10.7.10.50,取消“对该区域中的所有站点要求服务器验证”选择,点击“添加”。

4. 在可信站点对话框,点击“关闭”

clip_image046clip_image047

5. 打开IE浏览器,在地址栏输入http://10.7.10.50/certsrv。

6. 在打开的网页中,点击“下载CA证书、证书链或CRL”。

7. 在出现的ActiveX控件允许交互提示对话框,点击“是”,然后点击“下载CA证书”。这里下载的是证书颁发机构的公钥。

clip_image048clip_image049

8. 在出现的文件下载对话框,点击“保存”按钮。

9. 在另存为对话框,点击“保存”。留意证书保存的位置。

clip_image050clip_image051

10. 在下载完毕对话框,点击“关闭”。

11. 右击IE图标,点击“属性”,在Internet属性对话框内容标签下,点击“证书”。

clip_image052clip_image053

12. 在出现的证书对话框,点击“受信任的根证书颁发机构”,点击“导入”。

13. 在出现的欢迎使用证书导入向导对话框,点击“下一步”。

clip_image054clip_image055

14. 在出现的要导入的文件对话框,点击“浏览”,找到下载的颁发机构的证书,点击“下一步”。

15. 在出现的证书存储对话框,选择“将所有的证书放入下列存储”点击“浏览”,在出现的对话框选择“受信任的根证书颁发机构”,点击“下一步”。

clip_image056clip_image057

16. 在正在完成证书导入向导对话框,点击“完成”。

17. 在出现的安全性警告对话框,点击“是”。

clip_image058clip_image059

18. 在出现的导入成功对话框,点击“确定”。

19. 可以看到证书颁发机构CAServer-CA证书已经被添加到受信任的根证书颁发机构,即该用户信任该证书颁发机构。以后该从该证书颁发机构申请证书就不会出现安全警告。

clip_image060clip_image061

4.1.4 在zhangPC上申请电子邮件证书

任务:

ü 从CAServer上申请电子邮件证书

步骤:

1. 在zhangPC计算机上,打开IE浏览器,输入http://10.7.10.50/certsrv,点击“申请证书”。

2. 在出现的申请一个证书页面中,点击“高级证书申请”。

clip_image062clip_image063

3. 在出现的高级证书申请页面,点击“创建并向此CA提交一个申请”。

4. 在出现的ActiveX控件允许这种交互对话框,点击“是”。

clip_image064clip_image065

5. 输入个人信息,注意,这里输入的电子邮件信息[email protected]一定和用户的使用的电子邮件地址一致。需要的证书类型选择“电子邮件保护证书”。

6. 选择“标记密钥为可导出”和“启用强私钥保护”,输入好记的名称,点击“提交”。

clip_image066clip_image067

7. 在出现的Web访问确认对话框,点击“是”。

8. 在出现的正在创建新的RSA交换密钥对话框,点击“设置安全级别”按钮。

clip_image068clip_image069

9. 在出现的正在创建新的RSA交换密钥对话框,选择“高”,点击“下一步”。

10. 在出现的创建一个密钥来保护此项,输入密码,点击“完成”。

clip_image070clip_image071

11. 在正在创建新的RSA交换密钥对话框,点击“确定”。

12. 然后出现证书正在挂起页面。等待证书管理员颁发证书。

clip_image072clip_image073

4.1.5 在CAServer上颁发证书

任务:

ü 在证书颁发机构颁发证书

步骤:

1. 在CAServer上,以管理员登录。

2. 点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具。

3. 点中“挂起的申请”,右击“证书”à“所有任务”à“颁发”。

4. 点中“颁发的证书”,可以看到证书颁发机构颁发的证书。

clip_image074clip_image075

4.1.6 在zhangPC上安装和查看证书

任务:

ü 查看挂起的证书

ü 安装个人证书

ü 查看证书的有效期、颁发者、使用者和证书使用者的个人信息

步骤:

1. 在zhangPC上,点击“主页”。

2. 返回到证书颁发机构首页,点击“查看挂起的证书申请状态”。

clip_image076clip_image077

3. 在查看挂起的证书申请的状态页面上,点击“电子邮件保护证书”。

4. 在出现的ActiveX控件允许交互对话框,点击“是”。

clip_image078clip_image079

5. 在证书已颁发页面,点击“安装此证书”。

6. 在出现的Web访问确认,点击“是”。

clip_image080clip_image081

7. 出现证书已安装页面。

8. 右击桌面上IE图标,点击“属性”。打开Internet属性,在内容标签下,点击“证书”,在出现的证书对话框的个人标签下,可以看到颁发给zhang的电子邮件证书。点中zhang的证书,点击“查看”。

clip_image082clip_image083

9. 在证书对话框的常规标签下,可以看到证书的目的、颁发给和颁发者以及有效日期。

10. 在详细信息标签下,点中“使用者”可以看到使用者信息。

clip_image084clip_image085

11. 在证书路径标签下,可以看到该证书是由那个颁发机构的颁发的。

clip_image086

4.1.7 在zhangPC上配置Windows Mail发送数字签名的信

任务:

ü 在Vista上配置Windows Mail电子邮件帐户。

ü 配置Windows Mail电子邮件帐户使用证书数字证书。

ü 张三给王五发送数字签名的电子邮件。

步骤:

1. 在zhangPC计算机上,点击“开始”à“程序”à“Windows Mail”。

2. 打开配置向导,输入显示名称“张三”,点击“下一步”。

clip_image087clip_image088

3. 在出现的Internet电子邮件地址对话框,输入电子邮件地址[email protected],点击“下一步”。

4. 在出现的设置电子邮件服务器对话框,选择“pop3”,输入pop3服务器的IP地址以及SMTP服务器的地址,点击“下一步”。

clip_image089clip_image090

5. 在Internet邮件登录对话框,输入电子邮件用户名[email protected]和密码,点击“下一步”。

6. 在祝贺您对话框,点击“完成”。

clip_image091clip_image092

7. 点击Windows Mail的“工具”à“帐户”。

8. 在出现的Internet帐户对话框,点中“10.7.10.100(默认)”,点击“属性”。

clip_image093clip_image094

9. 在出现的10.7.10.100属性对话框的安全标签下,在签署证书下,点击“选择”。

10. 在出现的选择默认帐户数字ID对话框,选择“zhang”数字证书,点击“”确定。

clip_image095clip_image096

11. 同样在加密首选项下,点击“选择”。浏览到zhang的数字证书,点击“确定”。

12. 点击“创建邮件”。

clip_image097clip_image098

13. 如图,收件人输入[email protected],写一封邮件,点击clip_image099,给邮件签名,点击clip_image100,发送电子邮件。

14. 因为数字签名需要用数字证书的私钥,出现私钥保护密码,点击“确定”。

clip_image101clip_image102

4.1.8 在wangPC上接收签名的信

任务:

ü 配置添加Windows Mail帐户。

ü 接收签名的电子邮件。

ü 查看数字签名的安全警告。

ü 导出证书颁发机构证书。

ü 使用MMC将证书颁发机构的证书添加到受信任的根证书颁发机构

ü 再次查看数字签名证书,没有安全警告

步骤:

1. 在wangPC上,点击“开始”à“程序”à“Windows Mail”。

2. 点击“工具”à“帐户”。

3. 在出现的Internet帐户对话框,点击“添加”。

clip_image103clip_image104

4. 在出现的选择帐户类型对话框,选择“电子邮件帐户”,点击“下一步”。

5. 在出现的您的姓名对话框,输入显示名称“王五”,点击“下一步”。

clip_image105clip_image106

6. 在出现的Internet电子邮件地址对话框,输入电子邮件地址[email protected],点击“下一步”。

7. 在出现的设置电子邮件服务器,选择pop3,输入pop3服务器的IP地址,输入SMTP服务器的IP地址。点击“下一步”。

clip_image107clip_image108

8. 在Internet邮件登录,输入电子邮件用户名[email protected]和密码,点击“下一步”。

9. 在出现的祝贺您对话框,点击“完成”。

clip_image109clip_image110

10. 可以看到收到了张三发送的签名的电子邮件,注意观察该邮件的图标。

11. 双击该电子邮件,在出现的数字签名提示对话框点击“继续”。

clip_image111clip_image112

12. 出现安全警告,因为王五还没信任CAServer-CA证书颁发机构。

13. 点击“查看数字标识”按钮。

clip_image113clip_image114

14. 在出现的签名数字标识属性对话框下的证书路径标签,点中“CAServer-CA”,点击“查看证书”。

15. 在出现的签名数字标识属性,点击“复制到文件”。

clip_image115clip_image116

16. 在出现的欢迎使用证书导出向导对话框,点击“下一步”。

17. 在出现的导出文件格式对话框,保持默认选择,点击“下一步”。

clip_image117clip_image118

18. 在出现的导出的文件对话框,点击“浏览”,输入文件名,点击“下一步”。

19. 在出现的正在完成证书导出向导对话框,点击“完成”。出现导出成功对话框,点击“确定”。

clip_image119clip_image120

20. 点击“开始”à“运行”,输入MMC,点击“确定”。

21. 在出现的用户控制对话框,点击“继续”。

22. 打开MMC管理控制台,点击“文件”à“添加/删除管理单元”。

clip_image121clip_image122

23. 在出现的添加或删除管理单元对话框,选中“证书”,点击“添加”。

24. 在出现的证书管理单元,选择“我的用户帐户”,点击“完成”。

clip_image123clip_image124

25. 在添加或删除管理单元对话框,点击“确定”。

26. 如图,右击“受信任的根证书颁发机构”下的“证书”,点击“所有任务”à“导入”。

clip_image125clip_image126

27. 在出现的欢迎使用证书导入向导对话框,点击“下一步”。

28. 在出现的要导入的文件对话框,点击“浏览”,找到上面导出的证书颁发机构CAServer-CA的证书,点击“下一步”。

clip_image127clip_image128

29. 在出现的证书存储对话框,选择“将所有的证书放入下列存储”,点击“浏览”,在出现的对话框,选择“受信任的根证书颁发机构”,点击“确定”。

30. 在出现的正在完成证书导入向导对话框,点击“完成”。

clip_image129clip_image130

31. 在出现的安全性警告对话框,点击“是”。

32. 出现导入成功提示框,点击“确定”。

clip_image131clip_image132

33. 可以看到证书颁发机构CAServer-CA的证书已经放到了受信任的根证书颁发机构。

34. 右击桌面的IE图标,点击“属性”,出现的Internet属性对话框,在内容标签下,点击“证书”。

clip_image133clip_image134

35. 可以看到已经将证书颁发机构CAServer-CA已经添加到受信任的根证书颁发机构。

36. 再次打开Windows Mail,打开张三发送过来的签名的电子邮件,点击“继续”。

clip_image135clip_image136

37. 可以看到数字签名而且已经检查。

clip_image137

4.1.9 在wangPC上发送加密的邮件

任务:

ü 查看Windows Mail自动创建的联系人以及关联的数字ID

ü 查看其他人的数字证书

ü 王五给张三发送加密的电子邮件

步骤:

1. 打开Windows Mail,点击clip_image138

2. 打开联系管理工具,可以看到Windows Mail自动创建的联系人“张三”,双击该联系人。

clip_image139clip_image140

3. 在张三属性对话框的标识标签下可以看到张三的数字证书,这里只是公钥部分。

4. 右击桌面上的IE图标,点击“属性”,在Internet属性对话框的内容标签下,点击“证书”。

clip_image141clip_image142

5. 在证书对话框的其他人标签下,可以看到张三的数字证书。

6. 点击Windows Mail的clip_image143。在出现的新邮件对话框,点击“收件人”。

clip_image144clip_image145

7. 在出现的选择收件人对话框,选中张三,点击“收件人”,点击“确定”。

8. 点击clip_image146表明要加密该邮件。

clip_image147clip_image148

9. 点击“发送”,在出现的安全警告对话框,点击“是”。该邮件会自动使用张三的数字证书加密,发送到张三邮箱。

clip_image149

4.1.10 在zhangPC接收加密的邮件

任务:

ü 张三接收并解密王五发送过来加密的邮件

ü 导出张三的电子邮件证书(包括私钥)

ü 删除张三的电子邮件证书

ü 验证张三没有数字证书解密邮件失败

步骤:

1. 在zhangPC上,打开Windows Mail,点击clip_image150

2. 在收件箱,可以看到收到的加密邮件,图标有把锁。点击“继续”。

clip_image151clip_image152

3. 可以看到能够解密邮件,看到邮件内容。

4. 右击桌面上的IE图标,点击“属性”。在Internet属性对话框的内容标签下,点击“证书”。

5. 出现的证书对话框个人标签下,点中zhang的数字证书,点击“导出”。

clip_image153clip_image154

6. 在出现的欢迎使用证书导出向导对话框,点击“下一步”。

7. 在导出私钥对话框,选择“是,导出私钥”,点击“下一步”。如果选择“不,不要导出私钥”,则只导出数字证书的公钥部分。

clip_image155clip_image156

8. 在导出文件格式对话框,选择“个人信息交换”,选中“如果可能,则数据包括证书路径中所有证书”,选中“如果导出成功,删除密钥”,选中“导出所有扩展属性”,点击“下一步”。

9. 在密码对话框,输入密码,点击“下一步”。该密码在导入证书时需要提供。

clip_image157clip_image158

10. 在要导出的文件名对话框,点击“浏览”,提供文件名,点击“下一步”。

11. 在正在完成证书导出向导对话框,点击“完成”。

clip_image159clip_image160

12. 在正在导出私人交换密钥对话框,输入私钥保护密码,点击“确定”,该密码在申请证书时设置。

13. 在出现的导出成功对话框,点击“确定”。现在已经导出zhang的数字证书(包括私钥)。

clip_image161clip_image162

14. 在证书对话框,点中zhang的数字证书,点击“删除”,在出现的警告对话框,点击“是”。

15. 可以看到当前用户已经没有了zhang数字证书。同时也没有了数字证书包括的私钥。

clip_image163clip_image164

16. 再次打开Windows Mail,点击发送过来的加密的电子邮件,提示“对邮件解密时出错”。现已证明没有私钥不能解密加密的邮件。

clip_image165

4.1.11 在证书颁发机构吊销张三的数字证书

任务:

ü 如果张三证书私钥泄露,在证书颁发机构吊销张三的数字证书

ü 并发布证书吊销列表(CRL)

步骤:

1. 在CAServer上,点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具。

2. 点中颁发的证书,右击zhang的数字证书,点击“所有任务”à“吊销证书”。

3. 在出现吊销证书对话框,选择理由码“密钥泄露”,点击“是”。

clip_image166clip_image167

4. 点中“吊销的证书”,可以看到刚才吊销的证书。

5. 右击“吊销的证书”,点击“所有任务”à“发布”。

clip_image168clip_image169

6. 在出现的发布CRL对话框,点击“确定”。

clip_image170

4.1.12 在wangPC上验证张三证书有效性

任务:

ü 确认Windows Mail默认是联机时自动检查吊销的证书

ü 查看张三的数字证书中证书吊销列表(CRL)的URL地址

ü 更改系统时间,这样Windows Mail使用在线证书状态协议检查证书有效性

ü 再次打开张三发送的数字签名的电子邮件验证签名的有效性

步骤:

1. 在wangPC计算机上,打开Windows Mail,点击“工具”à“选项”。

2. 在出现的选项对话框,点击“高级”。

clip_image171clip_image172

3. 在高级安全设置对话框,可以看到已经选中了“将发件人的证书添加到我的Windows联系人中”,收到数字签名的邮件,会自动创建Windows联系人,且将发件人的证书添加到该联系人。在撤销检查,默认已经选择了“只在联机时”,Windows Mail会自动访问证书颁发机构网站检查证书吊销列表。

4. 右击桌面IE图标,点击“属性”。在打开的Internet属性对话框的内容标签下,点击“证书”。

clip_image173clip_image174

5. 在证书对话框其他人标签下,可以看到联系人的数字证书(公钥部分),点击“查看”。

6. 在出现的证书对话框详细信息标签下,点中“CRL发布点”,可以看到证书吊销列表的URL。Widnows Mail通过检查该URL下载证书吊销列表。

clip_image175clip_image176

7. 点击左下角的时间,点击“更改日期和时间设置”。更改一下系统时间,这样再次打开Windows Mail就会从证书颁发机构CRL检查证书吊销情况。

8. 在出现的日期和时间对话框,点击“更改日期和时间”按钮。

clip_image177clip_image178

9. 在出现的用户控制对话框,点击“继续”。

10. 在日期和时间设置对话框,将日期有1月29日更改为2月12日,点击“确定”。

clip_image179clip_image180

11. 再次打开Windows Mail,点击张三发送过来的数字签名的电子邮件,出现安全警告。

12. 可以看到安全提示是“这个数字签名已经吊销”,点击“打开邮件”。

clip_image181clip_image182

13. 可以查看电子邮件内容了,可见签名的目的是确保邮件未被更改和确定发件人身份,数字签名并不加密内容。可以看到图标clip_image183,说明证书有问题。

clip_image184

titel2

123

system

system3

你可能感兴趣的:(证书,机构,实验目的)