CA数字证书服务的配置、搭建安全的WEB服务器、安全的邮件服务器

1.什么是数字证书

         数字证书在网络上类似于人在社会上持有的***等证件，用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人，也可能是网络设备。数字证书可以简单理解为“网络***”，用来在网络上证明自己的身份。

2.数字证书上面主要包括那些信息？

         数字证书上面主要包括以下信息：证书版本号、证书持有者信息、证书签发者(CA)信息、证书起止有效期、证书序列号、证书签发者的签名等。这些信息与身份 证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用，这与***上的公章类似。但CA中心对证书的数字签名是不可能被伪造的。

实验目的：CA服务的搭建

实验环境：

主机名：fanlj      IP地址：192.168.1.30   

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

1、修改配置文件，dir代表 CA存放的目录，certs代表保存签入数字证书的目录，crl_dir代表证书吊销列表存放的目录，database代表签入数字证书的信息默认是不存在需要创建， new_certs_dir代表用于存放新证书存放的位置，certificate代表根证书（公钥信息），serial代表序列号文件默认是不存在需要创建，crlnamber代表证书吊销列表的编号，private-key代表私钥信息。

2、创建相应的文件和目录

3、生成CA的私钥文件用openssl命令生成 genrsa代表生成私钥 -des3代表对称加密 2048代表密钥的长度，并且修改权限只有管理员有权限。

4、根据私钥生成公钥：需要输入保护私钥的密码。提示的问题，国家、城市、省份、公司名这四项必须和openssl.cnf中设置的完全一致，否则会失败，-new生成一个新的文件 ，-x509代表根证书的格式，-key my_ca.key用私钥生成公钥。

5.查看根证书的信息x509代表证书的格式，-in my.ca.crt从哪个证书的信息，-noout  -text 代表以文本的格式在屏幕上输入。

实验目的：搭建安全的WEB服务器

实验环境：

web服务器：主机名：waiwang     IP地址：192.168.1.20   

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

CA服务器：主机名：fanlj     IP地址：192.168.1.30

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

客户端：主机名：fanxiaohui   IP地址：192.168.1.40

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

实验要求：

当客户端访问web页面时直接出现页面，不会出现有风险的提示信息。

一、WEB服务器生成密钥对

1、生成私钥

2、根据私钥生成证书请求文件

二、把CSR文件上传至CA

查看csr文件内容

三、CA签发证书

1、签发证书

查看签名的文件的大小

2、验证

四、WEB服务器下载证书并且布署

1、下载证书

2、将证书拷贝到/etc/pki/tls/certs

3、安装mod_ssl

4、编辑配置文件

# vim /etc/httpd/conf.d/ssl.conf

5、当访问http协议时，自动跳转到https

在ssl.conf中加入：

6、重启web服务器

五、客户端访问

https://www.tarena.com

提示证书不受信任，因为客户端没有信任CA

客户端将CA的根证书安装上，再次访问就不会再有提示。

上面提示CA没有被信任，下载根证书。

实验目的：搭建安全的mail服务器

实验环境：

客户端：主机名：waiwang     IP地址：192.168.1.20   

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

CA服务器：主机名：fanlj     IP地址：192.168.1.30

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

mail服务器：主机名：fanxiaohui   IP地址：192.168.1.40

系统环境：Red Hat Enterprise Linux Server release 6.5(Santiago)

实验要求：

当用户用抓包工具进行时，出现的都是乱码，无法破解邮件的信息。

一。搭建邮件服务器

1.  安装软件包postfix

2.修改主配置文件

3.启动postfix服务

4.安装dovecot软件包

5.修改主配置文件

6启动dovecot服务

二。配置私钥和公钥

邮件服务器生成 私钥，根据私钥生成csr文件。

查看csr的信息

上传该文件到CA服务器上进行签署证书

查看crt的信息

验证crt的信息

拷贝 crt文件到邮件服务器上

三。配置安全的邮件服务器

修改postfix主配置文件

修改dovecot主配置文件

重新启动服务