实验2 配置PKI认证加密
2.1 实验说明
使用PKI数字证书签名,可以保证通信过程的安全通信,在我们这部分实验中,完成企业CA和独立CA配置。设置企业CA的实验中,通过对电子邮件的数字签名和加密来保证邮件传输的安全;设置独立CA的实验中,通过对Web站点配制数字证书启用SSL协议,保证客户端用户在访问该网站时的通信内容是安全传输的。
2.2 实验环境说明
2.2.1 域环境要求
企业CA配置环境:
完成本次实验要求:建议使用4台计算机,如图中huayu .com域控制器安装Windows Server 2003 ,在域控制器上配置电子邮件服务器并使用DNS来解析,安装IIS服务、证书服务,配置企业根CA;huayu .com成员服务器安装企业从属CAPC1PC2计算机是该域内的客户端计算机,进行实验验证。实验如图:
2.2.2 工作组环境要求
独立CA配置环境:
完成本次实验要求:建议使用4台计算机,Server 01计算机安装Windows Server 2003 / Windows 2000 Server操作系统,在该服务器上安装IIS服务配置Web站点并使用DNS来解析;安装证书服务,配置独立根CA,进行证书的申请和Web站点的结合配置;Server02计算机安装Windows Server 2003 / Windows 2000 Server操作系统,安装证书服务,配置独立从属CAPC1PC2计算机是客户端计算机,验证使用。实验如图:
2.3 实验操作步骤
2.3.1 配置企业根CA
1.企业根CA是在域环境内配置的,需要安装活动目录,如图:
2.配置DNS服务,DNS结合Active Directory进行配制,如图:
3.配制POP3邮件服务器,需要把POP3邮件服务与Active Directory结合设置,如图:
4.创建两个邮件帐户wangzgwensj,同时在“Active Directory 用户和计算机”选项中会自动生成可以登录的两个用户,为了实验方便建议把这两个用户加入到管理员组中,如图:
5.把PC1PC2计算机分别添加到huayu .com域中,以PC1添加为例,如图:
 
6.在PC1登录到huayu.com内时,使用wangzg用户登录,如图:
7.在域控制器上安装“证书服务”配制企业根CA,安装过程如图:
8.安装后证书后可以在“Internet选项”“内容”“证书”中查看到:
9.分别在PC1PC2计算机上使用wangzg wensj用户申请企业证书,如下图:

 

如果没有弹出“证书申请向导”对话框,只需要重新启动一下计算机,重新登录就可以了。
 
采用同样的方法在PC2计算机使用wensj用户,申请企业证书,并进行安装,这里就不再掩饰了。
10.在PC1计算机上使用wangzg用户的Outlook电子邮件客户端软件加载配制CA证书,并且给wensj用户发签名邮件。
11.在PC2计算机上使用wensj用户的Outlook电子邮件客户端软件加载配制CA证书,并且接收wangzg用户发给自己的签名邮件,在回复邮件的时候进行数字签名和加密,操作如下图:
12.在PC1计算机上使用wangzg用户接收wensj的回复邮件:
2.3.2 配置企业从属CA
1.在huayu.com域内的成员服务器上安装“证书服务”,例如在huayu .com内成员服务器(Windows 2000 Server,IP地址为192.168.1.20)上安装企业从属CA,配置如图:
2.在PC1计算机上使用liumj用户到从属CA服务器上去申请证书。(在于控制器的邮件服务内建立用户liumj,使用liumj用户到企业从属CA服务器上申请证书并进行配置,)如图:
3.打开liumj用户的Outlook电子邮件客户端软件进行设置,如图:
4.新建一封邮件发给wangzg用户,使用数字证书签名。
5.在wangzg邮件用户中接受到liumj用户的邮件
6.回复邮件,使用数字证书加密。
7.用户liumj接受回复的加密邮件。
2.3.3