让Windows Messenger之间实现安全的通讯

上篇我们介绍了 LCS 服务器使用 SIP （会话初始化协议）协议在 5060 端口提供 TCP 连接，让 Windows Messenger 之间实现通讯。但是这种通讯是不安全的，怎么能安全呢？怎么能让 Windows Messenger 之间实现安全的通讯呢？看完这篇文章大家就了解了。 这篇我们将介绍在如何在证书的支持下让 5061 端口实现 TLS 加密连接，让 Windows Messenger 之间实现安全的通讯。 实验拓扑还是上篇的拓扑图， Beijing 是域控制器、 DNS 服务器、 IP 是 192.168.11.100 ； Shanghai 是 LCS2005 服务器， IP 为 192.168.11.101 ； Perth 和 Istanbul 是客户机， Perth 的 IP 为 192.168.11.102 ； Istanbul 的 IP 为 192.168.11.103. ； shanghai 、 perth 、 istanbul 这三台主机都加入 LCSTEST.COM 域中

一、为域控制器安装证书

既然是在证书的支持下，实现 TLS 加密连接，那么首先要安装证书，证书安装在域控制器上。怎么安装证书呢？

首先点开始――设置――控制面板――添加删除程序――添加或删除 windows 组件――证书服务。出现下面对话框点下一步

我们颁发一个企业根证书

写入证书的公司名称。我们定义为“ ITETCA ”

点击“下一步”后，向导提示要安装这书必须暂停 INTERBET 服务，我们选择“是”

证书安装一半的时候，向导又提示开启 ASP ，我们还是选择“是”

Ok ！证书安装完成

完成后我们打开开始菜单的运行命令，在运行中输入“ cmd ”，然后在里面输入 gpupdate /force 命令来刷新一下组策略。目的是让申请的证书能够立即的生效。注意：在域内的计算机都刷新一下组策略，让安装的证书立即生效，同时让域中所有的计算机都信任这个证书。

组策略刷新完成后，右击域控制器上的 IE 属性，然后切换到“内容”选项，接着点击证书

然后在点击“受信任的根证书办法机构”我们就可以看见刚才在域控制器上安装的证书了。注意：只要是域中的计算机都可以在 IE 属性中看见域控制器中安装的证书，必须让域内所有的计算机信任这个证书，才能进行下一步，免得到最后的时候出现问题。

二、为 LCS 服务器申请证书

接下来我们就改为LCS服务器申请证书了，在 SHANGHAI的IE浏览器中输入http://beijing/certsrv ，如下图所示，选择“申请一个证书”。

在选择“高级证书申请”

“创建并向 CA 提交一个申请”

证书模板选择“ web 服务器”，模板识别信息的姓名必须得输入完全合格域名。因为客户机连接到 LCS 服务器时所用的的域名就是 SHANGHAI.LCSTEST.COM 。所以这的完全合格域名也应该输入 SHANGHAI.LCSTEST.COM 。 注意 : 将证书保存在本地的计算机存储中，因为验证证书的时候是在本地计算机的存储中查看。

出现下面的提示点击“是”即可

安装此证书

选择“是”，在本机中添加一个证书

Ok ！证书成功的在服务器上安装了。

三、使用 LCS 服务器申请的证书

既然 LCS 服务器申请了证书 了。那么就要利用申请到的证书配置TLS了.在LCS服务器shanghai上打开“ Live Communications Server 2005"如下图所示

右击shanghai.lcstest.com，选择属性。

打开“ shanghai.lcstest.com ”属性后在点击下面的添加

接着把传输类型改为“ TLS ”，端口会自动的改为“ 5061 ”，再接着选择右下角的“选择证书”

打开选择证书后，我们可以看见为 LCS 服务器申请的证书。点击“确定”

点击确定我们看见了证书的具体信息。如图

Ok ！我们看见了两个端口 5060 和 5061 ，传输方式也不同。现在 LCS 服务器可以提供 TLS 加密 连接了。不过大家莫慌啊！还没有完成呢？还得在 DNS 中新建一条 SRV 记录

四、 配置 DNS 中的 SRV 记录

SIP 协议既可以在 5060 端口提供 TCP 连接，也可以在 5061 端口提供 TLS 加密连接，当然，我们还得通过 DNS 的 SRV 记录向 LCS 客户端传递这个消息 。我们在域控制器 beijing 上打开 DNS 然后右击 LCSTEST.COM ，选择“其他新记录”如下图所示

选定服务位置（ SRV ），点下面的创建记录

服务改为“ _sip ”协议为“ _tls ”，端口号改为 5061 ，提供此服务器的主机名一定要写完全合格域名，我们这的完全合格名为“ shanghai.lcstest.com”, 输入完成后点击确定

 

SRV 记录创建完成后，我们打开 DNS 就可以看见了，如下图服务类型是“ SRV ”，名称是“ _SIP ”

五、客户机测试

该最后一步了，找台客户机测试一下看一下 Windows Messenger 之间的通讯协议是什么 TCP 还是 TLS? 在 Istanbul 上以 lisi 用户身份登陆 Windows Messenger 。嗯！怎么登陆不上 Windows Messenger ，这个实验我做了好几遍了从没有出错啊！今天是怎么了，难道是人品问题，不会吧！我人品一向都很好啊！应该不会是人品问题。呵呵 …… 我是新手，应该是我的技术问题吧！呵呵 …… 言归正传吧！记得岳老师解释过这个问题，好像是DNS的问题。是不是客户机找不见 DNS 中新建的 SRV 记录呢？是不是证书的问题？

是不是因为 DNS 缓存的原因，客户机没有找到新增加的 SRV 记录呢？输入 ipconfig/flushdns 命令来清除一下 DNS 缓存，看看能不能解决这个问题。

清除 DNS 缓存后，我们选择 Windows Messenger 的“工具”菜单下的“选项”

在切换到“帐户”选项卡，点击高级菜单

把连接方法改为“自动配置”，点击确定。注意：如果选择“配置设置”的话，那么需要输入 LCS 服务器的 IP 地址，这样的话客户机连接 LCS 服务器的时候是不会在 DNS 中查询 SRV 记录的，直接通过 IP 地址就连接到了 LCS 服务器， DNS 中不会为它做任何记录的。

接下来我们在来试试能不能登陆上 Windows Messenger 。 Ok ！没问题登陆上了。

客户机是登陆上 Windows Messenger 了，但是现在用的是什么协议我们就得来看看了。如果没问题的话，现在客户机用的应该是 TLS 连接。为什么不用 TCP 连接呢？这是因为 来查询 Istanbul 计算机 端口的连接，从查询结果可以看出Istanbul的确是在用5061端口连接到LCS服务器SHANGHAI

刚才出现的问题原来是客户机找不见 DNS 中的 SRV 记录啊！不是证书的问题。大家做的时候一定要细心，遇见问题的时候不要轻易的放弃，试着看看自己能不能解决，如果实在是解决不了，那也不要灰心“大不了重头再来”。呵呵 …..

在证书的支持下让 5061 端口实现 TLS 加密连接了，终于能让 Windows Messenger 之间实现安全的通讯了。