上篇我们介绍了
LCS
服务器使用
SIP
(会话初始化协议)协议在
5060
端口提供
TCP
连接,让
Windows Messenger
之间实现通讯。但是这种通讯是不安全的,怎么能安全呢?怎么能让
Windows Messenger
之间实现安全的通讯呢?看完这篇文章大家就了解了。
这篇我们将介绍在如何在证书的支持下让
5061
端口实现
TLS
加密连接,让
Windows Messenger
之间实现安全的通讯。
实验拓扑还是上篇的拓扑图,
Beijing
是域控制器、
DNS
服务器、
IP
是
192.168.11.100
;
Shanghai
是
LCS2005
服务器,
IP
为
192.168.11.101
;
Perth
和
Istanbul
是客户机,
Perth
的
IP
为
192.168.11.102
;
Istanbul
的
IP
为
192.168.11.103.
;
shanghai
、
perth
、
istanbul
这三台主机都加入
LCSTEST.COM
域中
一、为域控制器安装证书
既然是在证书的支持下,实现
TLS
加密连接,那么首先要安装证书,证书安装在域控制器上。怎么安装证书呢?
首先点开始――设置――控制面板――添加删除程序――添加或删除
windows
组件――证书服务。出现下面对话框点下一步
我们颁发一个企业根证书
写入证书的公司名称。我们定义为“
ITETCA
”
点击“下一步”后,向导提示要安装这书必须暂停
INTERBET
服务,我们选择“是”
证书安装一半的时候,向导又提示开启
ASP
,我们还是选择“是”
Ok
!证书安装完成
完成后我们打开开始菜单的运行命令,在运行中输入“
cmd
”,然后在里面输入
gpupdate /force
命令来刷新一下组策略。目的是让申请的证书能够立即的生效。注意:在域内的计算机都刷新一下组策略,让安装的证书立即生效,同时让域中所有的计算机都信任这个证书。
组策略刷新完成后,右击域控制器上的
IE
属性,然后切换到“内容”选项,接着点击证书
然后在点击“受信任的根证书办法机构”我们就可以看见刚才在域控制器上安装的证书了。注意:只要是域中的计算机都可以在
IE
属性中看见域控制器中安装的证书,必须让域内所有的计算机信任这个证书,才能进行下一步,免得到最后的时候出现问题。
二、为
LCS
服务器申请证书
接下来我们就改为LCS服务器申请证书了,在
SHANGHAI的IE浏览器中输入http://beijing/certsrv
,如下图所示,选择“申请一个证书”。
在选择“高级证书申请”
“创建并向
CA
提交一个申请”
证书模板选择“
web
服务器”,模板识别信息的姓名必须得输入完全合格域名。因为客户机连接到
LCS
服务器时所用的的域名就是
SHANGHAI.LCSTEST.COM
。所以这的完全合格域名也应该输入
SHANGHAI.LCSTEST.COM
。
注意
:
将证书保存在本地的计算机存储中,因为验证证书的时候是在本地计算机的存储中查看。
出现下面的提示点击“是”即可
安装此证书
选择“是”,在本机中添加一个证书
Ok
!证书成功的在服务器上安装了。
三、使用
LCS
服务器申请的证书
既然
LCS
服务器申请了证书
了。那么就要利用申请到的证书配置TLS了.在LCS服务器shanghai上打开“
Live Communications Server 2005"如下图所示
右击shanghai.lcstest.com,选择属性。
打开“
shanghai.lcstest.com
”属性后在点击下面的添加
接着把传输类型改为“
TLS
”,端口会自动的改为“
5061
”,再接着选择右下角的“选择证书”
打开选择证书后,我们可以看见为
LCS
服务器申请的证书。点击“确定”
点击确定我们看见了证书的具体信息。如图
Ok
!我们看见了两个端口
5060
和
5061
,传输方式也不同。现在
LCS
服务器可以提供
TLS
加密
连接了。不过大家莫慌啊!还没有完成呢?还得在
DNS
中新建一条
SRV
记录
四、
配置
DNS
中的
SRV
记录
SIP
协议既可以在
5060
端口提供
TCP
连接,也可以在
5061
端口提供
TLS
加密连接,当然,我们还得通过
DNS
的
SRV
记录向
LCS
客户端传递这个消息
。我们在域控制器
beijing
上打开
DNS
然后右击
LCSTEST.COM
,选择“其他新记录”如下图所示
选定服务位置(
SRV
),点下面的创建记录
服务改为“
_sip
”协议为“
_tls
”,端口号改为
5061
,提供此服务器的主机名一定要写完全合格域名,我们这的完全合格名为“
shanghai.lcstest.com”,
输入完成后点击确定
SRV
记录创建完成后,我们打开
DNS
就可以看见了,如下图服务类型是“
SRV
”,名称是“
_SIP
”
五、客户机测试
该最后一步了,找台客户机测试一下看一下
Windows Messenger
之间的通讯协议是什么
TCP
还是
TLS?
在
Istanbul
上以
lisi
用户身份登陆
Windows Messenger
。嗯!怎么登陆不上
Windows Messenger
,这个实验我做了好几遍了从没有出错啊!今天是怎么了,难道是人品问题,不会吧!我人品一向都很好啊!应该不会是人品问题。呵呵
……
我是新手,应该是我的技术问题吧!呵呵
……
言归正传吧!记得岳老师解释过这个问题,好像是DNS的问题。是不是客户机找不见
DNS
中新建的
SRV
记录呢?是不是证书的问题?
是不是因为
DNS
缓存的原因,客户机没有找到新增加的
SRV
记录呢?输入
ipconfig/flushdns
命令来清除一下
DNS
缓存,看看能不能解决这个问题。
清除
DNS
缓存后,我们选择
Windows Messenger
的“工具”菜单下的“选项”
在切换到“帐户”选项卡,点击高级菜单
把连接方法改为“自动配置”,点击确定。注意:如果选择“配置设置”的话,那么需要输入
LCS
服务器的
IP
地址,这样的话客户机连接
LCS
服务器的时候是不会在
DNS
中查询
SRV
记录的,直接通过
IP
地址就连接到了
LCS
服务器,
DNS
中不会为它做任何记录的。
接下来我们在来试试能不能登陆上
Windows Messenger
。
Ok
!没问题登陆上了。
客户机是登陆上
Windows Messenger
了,但是现在用的是什么协议我们就得来看看了。如果没问题的话,现在客户机用的应该是
TLS
连接。为什么不用
TCP
连接呢?这是因为
来查询
Istanbul
计算机
端口的连接,从查询结果可以看出Istanbul的确是在用5061端口连接到LCS服务器SHANGHAI
刚才出现的问题原来是客户机找不见
DNS
中的
SRV
记录啊!不是证书的问题。大家做的时候一定要细心,遇见问题的时候不要轻易的放弃,试着看看自己能不能解决,如果实在是解决不了,那也不要灰心“大不了重头再来”。呵呵
…..
在证书的支持下让
5061
端口实现
TLS
加密连接了,终于能让
Windows Messenger
之间实现安全的通讯了。