Windows AD证书服务系列---证书的使用范围(2)

实验环境：

LON-DC1  Windows2012R2  AD+CA

LON-CL1  Windows8.1     域客户端+Office2013

LON-CL2  Windows8.1     域客户端+Office2013

实验目的：

将证书用于数字签名，并验证数字签名是否可以保证数据的可靠性。

实验步骤：

一、搭建企业CA

使用域管理员账号登入LON-DC1，在LON-DC1上打开Powershell控制台，输入Add-WindowsFeature adcs-cert-authority,adcs-web-enrollment -IncludeManagementTools

命令执行完毕后，我们需要在服务器管理器中去配置AD证书服务，在服务器管理器的右上角的通知中，有一个***感叹号,单击感叹号后会出现"配置目标服务器上的Active Directory证书服务"

点击配置证书服务后，会出现一个新的窗口，如下图，我们使用默认选项，直接点击下一步

接下来会让你勾选需要配置的角色服务，事先没有安装的角色在这里是无法被勾选的，这里我们因为安装了证书颁发机构和web注册的角色，所以可以将这两个选项勾选起来进行下一步的配置

接下来需要我们指定CA的设置类型，因为我们是在域环境下，所以这里保持默认的企业CA

选择好设置类型后，我们需要设定CA类型，这里我们使用默认选项 根CA

后续所有的设置都保持默认值，点击下一步即可，最后我们可以看到整个的配置摘要，确认没有错误或异常之后，直接点击配置按钮，开始配置证书服务

成功配置后，可以看到如下的画面

二、客户端申请用户证书

用user1账号登陆LON-CL1，然后运行mmc命令打开控制台，在控制台中选择"文件"-"添加/删除管理单元"-"证书"-"添加"-"确定"

展开添加的证书管理单元，右键选中"个人"-"所有任务"-"申请新证书"

单击申请新证书后，出现的窗口中连续点击两次下一步，我们可以看到以下的画面

我们勾选"用户"，然后点击"注册"，成功注册后如下图所示，然后我们将此窗口和控制台都关闭掉

三、对word文档进行数字签名

在LON-CL1上新建一个Word文件，在word里面任意输入一些内容并保存

在Word的工具栏中选择"插入"，然后选择"签名行"，在下拉菜单中打开"Microsoft office签名行"

将建议的签名人，建议签名人职务，电子邮件地址填入对应的信息，然后点击"确认"

设定好签名之后，可以看到在插入的位置会多出一个签名图标，右键点击这个签名图标，选择"签署"，将签名签署到文档中

在弹出的窗口中，可以看到X的右边有个空白栏位，可以添加你的个性图片或者直接输入你特定的内容，这里我们就用user1来做例子，填写好之后，我们点击"签名"，随后弹出的确认窗口直接确定即可

签名成功后，文档是不可修改的，可以看到"插入"选项中所有针对文档内容编辑的按钮都变成灰色了

四、验证数字签名是否能够保证数据的可靠性

我们在LON-CL2上使用User2账号登录，假设User2依靠非法的手段获得了LON-CL1上设置了数字签名的word文档，并且想将文档中的内容修改，对于已经设置了数字签名的文档，有两种方式可以修改它的内容，一种是打开文档后会在上方的工具栏出现一个提示"仍然编辑"，另一种是右键点击数字签名，选择"删除签名"

删除签名之后，我们编辑内容，在内容中加入MODIFY，然后右键点击文档末尾的数字签名，选择"签署"，我们会看到以下提示，这是因为user2没有注册用户证书

那么我们按照前面的步骤为User2注册一个用户证书，然后再次点击签名执行"签署"，可以看到签署成功，但是数字签名中的签署者变成了user2，因为它这次签名默认使用的是User2注册的证书，它无法让user2使用user1的证书，所以我们就可以知道这个信息已经被篡改过了，不是User1的原文件。