4.1 实战:在电子邮件中使用数字签名和加密
实验目的:
ü 在CAServer上安装和配置独立CA
ü 在MailServer上安装和配置pop3和SMTP服务
ü 在MailServer上创建邮箱wang@ess.com和zhang@ess.com
ü 在zhangPC上下载CAServer证书颁发机构证书并添加到受信任的根证书颁发机构
ü 在wangPC上下载CAServer证书颁发机构证书并添加到受信任的根证书颁发机构
ü 在zhangPC计算机上为邮箱zhang@ess.com申请电子邮件证书
ü 在CAServer上颁发数字证书
ü 查看电子邮件证书信息
ü 在zhangPC上配置Windows Mail使用申请的证书
ü Zhang向Wang发送签名电子邮件
ü Wang向zhang发送加密电子邮件
ü 在zhangPC上查看加密的电子邮件
ü 在CAServer上吊销zhang的电子邮件证书并发布证书吊销列表(CRL)
ü 使用Windows Mail打开zhang发送的数字签名的电子邮件,检查数字证书的吊销情况
实验环境:
ü CAServer安装Windows Server 2008企业版,安装独立的证书颁发机构。
ü MailServer安装Windows Server 2003企业版,安装POP3邮件服务和SMTP服务。
ü zhangPC安装Vista企业版。
ü wangPC安装Vista企业版。
4.1.1 在CAServer上安装独立的证书颁发机构
证书服务是包括在Windows Servers 2008服务器产品中的一种服务,但是默认情况下并不安装它。可以在安装Windows Servers 2008过程中或在安装了Windows Servers 2008之后安装证书服务。
注意:在安装了证书服务之后不能重新命名计算机,也不能将计算机加入到某个域中或从某个域中删除。如果要执行这类操作,必须从该计算机中删除证书服务。
任务:
ü 在CAServer上安装独立的证书服务
ü 查看安装证书服务过程中自动创建的证书申请网站
步骤:
1. 在CAServer上,以管理员登录。
2. 点击
,打开服务器管理器,点击“添加角色”。
3. 在选择服务器角色对话框,选中“Active Directory证书服务”,点击“下一步”。
4. 在出现的Active Directory证书服务简介,点击“下一步”。
5. 在选择角色服务对话框,选中“证书颁发机构”和“证书颁发机构Web注册”,在出现的选择添加角色向导对话框,点击“添加必须的角色服务”。
6. 在选择角色服务对话框,选中“联机响应程序”,点击“下一步”。
7. 在指定安装类型对话框,选择“独立”,点击“下一步”。因为CAServer在工作组中,因此“企业”不可选。
8. 在指定CA类型对话框,选择“根”,点击“下一步”。
9. 在设置私钥对话框,选择“新建私钥”,点击“下一步”。
10. 在为CA配置加密对话框,保持默认设置,点击“下一步”。
11. 在配置CA名称对话框,保持默认的CA的公用名称,点击“下一步”。
12. 在有效期对话框,保持默认的5年有效期,点击“下一步”。
13. 在配置证书数据库对话框,保持证书数据库默认位置和证书数据库日志位置,点击“下一步”。
14. 在Web服务器(IIS)对话框,点击“下一步”。
15. 在选择角色服务对话框,保持默认选择,点击“下一步”。
16. 在确认安装选择对话框,点击“安装”。
17. 在安装结果对话框,点击“关闭”。完成独立CA的安装
18. 点击“开始”à“程序”à“管理工具”à“Internet 信息服务(IIS)管理器”,打开Web站点管理工具。可以看到默认的web站点下有一个CertSrv虚拟站点,用户访问该虚拟站点申请证书和下载证书以及下载CA证书。
4.1.2 在MailServer上安装和配置邮件服务
任务:
ü 在MailServer上安装pop3邮件服务和SMTP邮件服务。
ü 配置pop3服务器创建域名和邮箱
ü 配置SMTP服务器允许将邮件转发到*.com和*.net域
ü 在Pop3上创建ess.com域和创建邮箱zhang@ess.com和wang@ess.com
步骤:
1. 在MailServer上,以管理员身份登录。
2. 点击“开始”à“设置”à“控制面板”,点击“添加或删除程序”。
3. 在出现的添加或删除程序对话框,点击“添加/删除Windows组件”。
4. 在出现的Windows组件对话框,选中“电子邮件服务”即pop3服务,点击“下一步”。
5. 选中“应用程序服务器”,点击“详细信息”。
6. 在出现的应用程序服务器对话框,选中“Internet信息服务(IIS)”,点击“详细信息”,选中“SMTP Service”,点击“确定”。
7. 在“Windows组件”对话,点击“下一步”。
8. 在安装过程中,出现提示对话框要求插入Windows安装盘。
9. 如图,点击“VM”à“Removable Devices”à“CD-ROM”à“Edit”。
10. 在出现的CD-ROM对话框,选择“Use ISO image”,点击“Browse”,浏览到Windows Server 2003 sp2的ISO,点击“OK”。
11. 安装完成后点击“完成”。
12. 点击“开始”à“程序”à“程序”à“POP3 服务”,打开pop3服务管理工具,点击“新域”。
13. 在出现的添加域对话框,在域名输入“ess.com”,点击“确定”。
14. 点中ess.com,点击“添加邮箱”。
15. 在出现的添加邮箱对话框,输入邮箱名zhang,选中“为此邮箱创建相关的用户”,输入密码,点击“确定”。
16. 在出现的成功添加了邮箱提示对话框,注意观察用户名和邮件服务器名,点击“确定”。
17. 再次点击“添加邮箱”,在出现的添加邮箱对话框,输入邮箱名wang,选中“为此邮箱创建相关的用户”,输入密码,点击“确定”。
18. 在出现的成功添加了邮箱提示对话框,注意观察用户名和邮件服务器名,点击“确定”。
19. 点击“开始”à“程序”à“管理工具”à“Internet 信息服务(IIS)管理器”,打开Internet信息服务管理工具。
20. 如图,右击“默认SMTP虚拟服务”下的域,点击“新建”à“域”。
21. 在出现的新建SMTP域向导,指定域类型选择“远程”,点击“下一步”。
22. 在域名对话框,如果只允许向inhe.net域名中继邮件,输入“inhe.net”,如果您打算让你的邮件服务器能够向Internet上所有net域名中继邮件输入“*.net”。在这里输入“*.net”,点击“完成”。
23. 右击“*.net”,点击“属性”。
24. 在*.net属性对话框,选中“允许将传入的邮件中继到此域”,点击“确定”。
25. 依照上面的方法,可以创建“*.com”远程域,然后配置*.com域,允许将传入的邮件中继到此域。
4.1.3 在zhangPC上下载并信任证书颁发机构证书
任务:
ü 调整IE浏览器可信站点安全级别
ü 将证书颁发机构的网站添加到受信任的站点
ü 下载CAServer-CA证书颁发机构的证书
ü 将CAServer-CA证书颁发机构的证书导入到受信任的证书颁发机构
步骤:
1. 在zhangPC上,右击IE浏览器图标,点击“属性”。
2. 在Internet属性对话框的安全标签下,点中“可信站点”,将该区域的安全级别设置为“低”,点击“站点”按钮。
3. 输入http://10.7.10.50,取消“对该区域中的所有站点要求服务器验证”选择,点击“添加”。
4. 在可信站点对话框,点击“关闭”
5. 打开IE浏览器,在地址栏输入http://10.7.10.50/certsrv。
6. 在打开的网页中,点击“下载CA证书、证书链或CRL”。
7. 在出现的ActiveX控件允许交互提示对话框,点击“是”,然后点击“下载CA证书”。这里下载的是证书颁发机构的公钥。
8. 在出现的文件下载对话框,点击“保存”按钮。
9. 在另存为对话框,点击“保存”。留意证书保存的位置。
10. 在下载完毕对话框,点击“关闭”。
11. 右击IE图标,点击“属性”,在Internet属性对话框内容标签下,点击“证书”。
12. 在出现的证书对话框,点击“受信任的根证书颁发机构”,点击“导入”。
13. 在出现的欢迎使用证书导入向导对话框,点击“下一步”。
14. 在出现的要导入的文件对话框,点击“浏览”,找到下载的颁发机构的证书,点击“下一步”。
15. 在出现的证书存储对话框,选择“将所有的证书放入下列存储”点击“浏览”,在出现的对话框选择“受信任的根证书颁发机构”,点击“下一步”。
16. 在正在完成证书导入向导对话框,点击“完成”。
17. 在出现的安全性警告对话框,点击“是”。
18. 在出现的导入成功对话框,点击“确定”。
19. 可以看到证书颁发机构CAServer-CA证书已经被添加到受信任的根证书颁发机构,即该用户信任该证书颁发机构。以后该从该证书颁发机构申请证书就不会出现安全警告。
4.1.4 在zhangPC上申请电子邮件证书
任务:
ü 从CAServer上申请电子邮件证书
步骤:
1. 在zhangPC计算机上,打开IE浏览器,输入http://10.7.10.50/certsrv,点击“申请证书”。
2. 在出现的申请一个证书页面中,点击“高级证书申请”。
3. 在出现的高级证书申请页面,点击“创建并向此CA提交一个申请”。
4. 在出现的ActiveX控件允许这种交互对话框,点击“是”。
5. 输入个人信息,注意,这里输入的电子邮件信息zhang@ess.com一定和用户的使用的电子邮件地址一致。需要的证书类型选择“电子邮件保护证书”。
6. 选择“标记密钥为可导出”和“启用强私钥保护”,输入好记的名称,点击“提交”。
7. 在出现的Web访问确认对话框,点击“是”。
8. 在出现的正在创建新的RSA交换密钥对话框,点击“设置安全级别”按钮。
9. 在出现的正在创建新的RSA交换密钥对话框,选择“高”,点击“下一步”。
10. 在出现的创建一个密钥来保护此项,输入密码,点击“完成”。
11. 在正在创建新的RSA交换密钥对话框,点击“确定”。
12. 然后出现证书正在挂起页面。等待证书管理员颁发证书。
4.1.5 在CAServer上颁发证书
任务:
ü 在证书颁发机构颁发证书
步骤:
1. 在CAServer上,以管理员登录。
2. 点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具。
3. 点中“挂起的申请”,右击“证书”à“所有任务”à“颁发”。
4. 点中“颁发的证书”,可以看到证书颁发机构颁发的证书。
4.1.6 在zhangPC上安装和查看证书
任务:
ü 查看挂起的证书
ü 安装个人证书
ü 查看证书的有效期、颁发者、使用者和证书使用者的个人信息
步骤:
1. 在zhangPC上,点击“主页”。
2. 返回到证书颁发机构首页,点击“查看挂起的证书申请状态”。
3. 在查看挂起的证书申请的状态页面上,点击“电子邮件保护证书”。
4. 在出现的ActiveX控件允许交互对话框,点击“是”。
5. 在证书已颁发页面,点击“安装此证书”。
6. 在出现的Web访问确认,点击“是”。
7. 出现证书已安装页面。
8. 右击桌面上IE图标,点击“属性”。打开Internet属性,在内容标签下,点击“证书”,在出现的证书对话框的个人标签下,可以看到颁发给zhang的电子邮件证书。点中zhang的证书,点击“查看”。
9. 在证书对话框的常规标签下,可以看到证书的目的、颁发给和颁发者以及有效日期。
10. 在详细信息标签下,点中“使用者”可以看到使用者信息。
11. 在证书路径标签下,可以看到该证书是由那个颁发机构的颁发的。
4.1.7 在zhangPC上配置Windows Mail发送数字签名的信
任务:
ü 在Vista上配置Windows Mail电子邮件帐户。
ü 配置Windows Mail电子邮件帐户使用证书数字证书。
ü 张三给王五发送数字签名的电子邮件。
步骤:
1. 在zhangPC计算机上,点击“开始”à“程序”à“Windows Mail”。
2. 打开配置向导,输入显示名称“张三”,点击“下一步”。
3. 在出现的Internet电子邮件地址对话框,输入电子邮件地址zhang@ess.com,点击“下一步”。
4. 在出现的设置电子邮件服务器对话框,选择“pop3”,输入pop3服务器的IP地址以及SMTP服务器的地址,点击“下一步”。
5. 在Internet邮件登录对话框,输入电子邮件用户名zhang@ess.com和密码,点击“下一步”。
6. 在祝贺您对话框,点击“完成”。
7. 点击Windows Mail的“工具”à“帐户”。
8. 在出现的Internet帐户对话框,点中“10.7.10.100(默认)”,点击“属性”。
9. 在出现的10.7.10.100属性对话框的安全标签下,在签署证书下,点击“选择”。
10. 在出现的选择默认帐户数字ID对话框,选择“zhang”数字证书,点击“”确定。
11. 同样在加密首选项下,点击“选择”。浏览到zhang的数字证书,点击“确定”。
12. 点击“创建邮件”。
13. 如图,收件人输入wang@ess.com,写一封邮件,点击
,给邮件签名,点击
,发送电子邮件。
14. 因为数字签名需要用数字证书的私钥,出现私钥保护密码,点击“确定”。
4.1.8 在wangPC上接收签名的信
任务:
ü 配置添加Windows Mail帐户。
ü 接收签名的电子邮件。
ü 查看数字签名的安全警告。
ü 导出证书颁发机构证书。
ü 使用MMC将证书颁发机构的证书添加到受信任的根证书颁发机构
ü 再次查看数字签名证书,没有安全警告
步骤:
1. 在wangPC上,点击“开始”à“程序”à“Windows Mail”。
2. 点击“工具”à“帐户”。
3. 在出现的Internet帐户对话框,点击“添加”。
4. 在出现的选择帐户类型对话框,选择“电子邮件帐户”,点击“下一步”。
5. 在出现的您的姓名对话框,输入显示名称“王五”,点击“下一步”。
6. 在出现的Internet电子邮件地址对话框,输入电子邮件地址wang@ess.com,点击“下一步”。
7. 在出现的设置电子邮件服务器,选择pop3,输入pop3服务器的IP地址,输入SMTP服务器的IP地址。点击“下一步”。
8. 在Internet邮件登录,输入电子邮件用户名wang@ess.com和密码,点击“下一步”。
9. 在出现的祝贺您对话框,点击“完成”。
10. 可以看到收到了张三发送的签名的电子邮件,注意观察该邮件的图标。
11. 双击该电子邮件,在出现的数字签名提示对话框点击“继续”。
12. 出现安全警告,因为王五还没信任CAServer-CA证书颁发机构。
13. 点击“查看数字标识”按钮。
14. 在出现的签名数字标识属性对话框下的证书路径标签,点中“CAServer-CA”,点击“查看证书”。
15. 在出现的签名数字标识属性,点击“复制到文件”。
16. 在出现的欢迎使用证书导出向导对话框,点击“下一步”。
17. 在出现的导出文件格式对话框,保持默认选择,点击“下一步”。
18. 在出现的导出的文件对话框,点击“浏览”,输入文件名,点击“下一步”。
19. 在出现的正在完成证书导出向导对话框,点击“完成”。出现导出成功对话框,点击“确定”。
20. 点击“开始”à“运行”,输入MMC,点击“确定”。
21. 在出现的用户控制对话框,点击“继续”。
22. 打开MMC管理控制台,点击“文件”à“添加/删除管理单元”。
23. 在出现的添加或删除管理单元对话框,选中“证书”,点击“添加”。
24. 在出现的证书管理单元,选择“我的用户帐户”,点击“完成”。
25. 在添加或删除管理单元对话框,点击“确定”。
26. 如图,右击“受信任的根证书颁发机构”下的“证书”,点击“所有任务”à“导入”。
27. 在出现的欢迎使用证书导入向导对话框,点击“下一步”。
28. 在出现的要导入的文件对话框,点击“浏览”,找到上面导出的证书颁发机构CAServer-CA的证书,点击“下一步”。
29. 在出现的证书存储对话框,选择“将所有的证书放入下列存储”,点击“浏览”,在出现的对话框,选择“受信任的根证书颁发机构”,点击“确定”。
30. 在出现的正在完成证书导入向导对话框,点击“完成”。
31. 在出现的安全性警告对话框,点击“是”。
32. 出现导入成功提示框,点击“确定”。
33. 可以看到证书颁发机构CAServer-CA的证书已经放到了受信任的根证书颁发机构。
34. 右击桌面的IE图标,点击“属性”,出现的Internet属性对话框,在内容标签下,点击“证书”。
35. 可以看到已经将证书颁发机构CAServer-CA已经添加到受信任的根证书颁发机构。
36. 再次打开Windows Mail,打开张三发送过来的签名的电子邮件,点击“继续”。
37. 可以看到数字签名而且已经检查。
4.1.9 在wangPC上发送加密的邮件
任务:
ü 查看Windows Mail自动创建的联系人以及关联的数字ID
ü 查看其他人的数字证书
ü 王五给张三发送加密的电子邮件
步骤:
1. 打开Windows Mail,点击
。
2. 打开联系管理工具,可以看到Windows Mail自动创建的联系人“张三”,双击该联系人。
3. 在张三属性对话框的标识标签下可以看到张三的数字证书,这里只是公钥部分。
4. 右击桌面上的IE图标,点击“属性”,在Internet属性对话框的内容标签下,点击“证书”。
5. 在证书对话框的其他人标签下,可以看到张三的数字证书。
6. 点击Windows Mail的
。在出现的新邮件对话框,点击“收件人”。
7. 在出现的选择收件人对话框,选中张三,点击“收件人”,点击“确定”。
8. 点击
表明要加密该邮件。
9. 点击“发送”,在出现的安全警告对话框,点击“是”。该邮件会自动使用张三的数字证书加密,发送到张三邮箱。
4.1.10 在zhangPC接收加密的邮件
任务:
ü 张三接收并解密王五发送过来加密的邮件
ü 导出张三的电子邮件证书(包括私钥)
ü 删除张三的电子邮件证书
ü 验证张三没有数字证书解密邮件失败
步骤:
1. 在zhangPC上,打开Windows Mail,点击
。
2. 在收件箱,可以看到收到的加密邮件,图标有把锁。点击“继续”。
3. 可以看到能够解密邮件,看到邮件内容。
4. 右击桌面上的IE图标,点击“属性”。在Internet属性对话框的内容标签下,点击“证书”。
5. 出现的证书对话框个人标签下,点中zhang的数字证书,点击“导出”。
6. 在出现的欢迎使用证书导出向导对话框,点击“下一步”。
7. 在导出私钥对话框,选择“是,导出私钥”,点击“下一步”。如果选择“不,不要导出私钥”,则只导出数字证书的公钥部分。
8. 在导出文件格式对话框,选择“个人信息交换”,选中“如果可能,则数据包括证书路径中所有证书”,选中“如果导出成功,删除密钥”,选中“导出所有扩展属性”,点击“下一步”。
9. 在密码对话框,输入密码,点击“下一步”。该密码在导入证书时需要提供。
10. 在要导出的文件名对话框,点击“浏览”,提供文件名,点击“下一步”。
11. 在正在完成证书导出向导对话框,点击“完成”。
12. 在正在导出私人交换密钥对话框,输入私钥保护密码,点击“确定”,该密码在申请证书时设置。
13. 在出现的导出成功对话框,点击“确定”。现在已经导出zhang的数字证书(包括私钥)。
14. 在证书对话框,点中zhang的数字证书,点击“删除”,在出现的警告对话框,点击“是”。
15. 可以看到当前用户已经没有了zhang数字证书。同时也没有了数字证书包括的私钥。
16. 再次打开Windows Mail,点击发送过来的加密的电子邮件,提示“对邮件解密时出错”。现已证明没有私钥不能解密加密的邮件。
4.1.11 在证书颁发机构吊销张三的数字证书
任务:
ü 如果张三证书私钥泄露,在证书颁发机构吊销张三的数字证书
ü 并发布证书吊销列表(CRL)
步骤:
1. 在CAServer上,点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具。
2. 点中颁发的证书,右击zhang的数字证书,点击“所有任务”à“吊销证书”。
3. 在出现吊销证书对话框,选择理由码“密钥泄露”,点击“是”。
4. 点中“吊销的证书”,可以看到刚才吊销的证书。
5. 右击“吊销的证书”,点击“所有任务”à“发布”。
6. 在出现的发布CRL对话框,点击“确定”。
4.1.12 在wangPC上验证张三证书有效性
任务:
ü 确认Windows Mail默认是联机时自动检查吊销的证书
ü 查看张三的数字证书中证书吊销列表(CRL)的URL地址
ü 更改系统时间,这样Windows Mail使用在线证书状态协议检查证书有效性
ü 再次打开张三发送的数字签名的电子邮件验证签名的有效性
步骤:
1. 在wangPC计算机上,打开Windows Mail,点击“工具”à“选项”。
2. 在出现的选项对话框,点击“高级”。
3. 在高级安全设置对话框,可以看到已经选中了“将发件人的证书添加到我的Windows联系人中”,收到数字签名的邮件,会自动创建Windows联系人,且将发件人的证书添加到该联系人。在撤销检查,默认已经选择了“只在联机时”,Windows Mail会自动访问证书颁发机构网站检查证书吊销列表。
4. 右击桌面IE图标,点击“属性”。在打开的Internet属性对话框的内容标签下,点击“证书”。
5. 在证书对话框其他人标签下,可以看到联系人的数字证书(公钥部分),点击“查看”。
6. 在出现的证书对话框详细信息标签下,点中“CRL发布点”,可以看到证书吊销列表的URL。Widnows Mail通过检查该URL下载证书吊销列表。
7. 点击左下角的时间,点击“更改日期和时间设置”。更改一下系统时间,这样再次打开Windows Mail就会从证书颁发机构CRL检查证书吊销情况。
8. 在出现的日期和时间对话框,点击“更改日期和时间”按钮。
9. 在出现的用户控制对话框,点击“继续”。
10. 在日期和时间设置对话框,将日期有1月29日更改为2月12日,点击“确定”。
11. 再次打开Windows Mail,点击张三发送过来的数字签名的电子邮件,出现安全警告。
12. 可以看到安全提示是“这个数字签名已经吊销”,点击“打开邮件”。
13. 可以查看电子邮件内容了,可见签名的目的是确保邮件未被更改和确定发件人身份,数字签名并不加密内容。可以看到图标
,说明证书有问题。
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131552,如需转载请自行联系原作者
