学员肖吉泉、马龙作品——PKI与网络安全

 

实训小组成员：AT060708肖吉泉、AT061017马龙

   当您在网络上发送信息时,例如通过Internet ,这些信息可能会被未经过受权而获取、篡改或执行各种不同类型的攻击行为，而PKI（Publie Key Infrastructure, 公钥基础设施）可以确保电子邮件、电子商务交易、文件发送等各类信息发送的安全性。
   使用PKI数字证书签名，可以保证通信过程的安全通信，在我们这部分实验中，完成企业CA和独立CA配置。设置企业CA的实验中，通过对电子邮件的数字签名和加密来保证邮件传输的安全；设置独立CA的实验中，通过对Web站点配制数字证书启用SSL协议，保证客户端用户在访问该网站时的通信内容是安全传输的。
2.2 实验环境说明
2.2.1 域环境要求
企业CA配置环境：
   完成本次实验要求：建议使用4台计算机，如图中huayu .com域控制器安装Windows Server 2003 ，在域控制器上配置电子邮件服务器并使用DNS来解析，安装IIS服务、证书服务，配置企业根CA；huayu .com成员服务器安装企业从属CA。PC1和PC2计算机是该域内的客户端计算机，进行实验验证。实验如图：

2.2.2 工作组环境要求
独立CA配置环境：
    完成本次实验要求：建议使用4台计算机，Server 01计算机安装Windows Server 2003 / Windows 2000 Server操作系统，在该服务器上安装IIS服务配置Web站点并使用DNS来解析；安装证书服务，配置独立根CA，进行证书的申请和Web站点的结合配置；Server02计算机安装Windows Server 2003 / Windows 2000 Server操作系统，安装证书服务，配置独立从属CA。PC1和PC2计算机是客户端计算机，验证使用。实验如图：

2.3 实验操作步骤
2.3.1 配置企业根CA
1．企业根CA是在域环境内配置的，需要安装活动目录，如图：

2．配置DNS服务，DNS结合Active Directory进行配制，如图：

3．配制POP3邮件服务器，需要把POP3邮件服务与Active Directory结合设置，如图：

4．创建两个邮件帐户wangzg和wensj，同时在“Active Directory 用户和计算机”选项中会自动生成可以登录的两个用户，为了实验方便建议把这两个用户加入到管理员组中，如图：

5．把PC1和PC2计算机分别添加到huayu .com域中，以PC1添加为例，如图：

6．在PC1登录到huayu.com内时，使用wangzg用户登录，如图：

7．在域控制器上安装“证书服务”配制企业根CA，安装过程如图：

8．安装后证书后可以在“Internet选项”—“内容”—“证书”中查看到：

9．分别在PC1、PC2计算机上使用wangzg 、wensj用户申请企业证书，如下图：

如果没有弹出“证书申请向导”对话框，只需要重新启动一下计算机，重新登录就可以了。

   

    采用同样的方法在PC2计算机使用wensj用户，申请企业证书，并进行安装，这里就不再掩饰了。
10．在PC1计算机上使用wangzg用户的Outlook电子邮件客户端软件加载配制CA证书，并且给wensj用户发签名邮件。

11．在PC2计算机上使用wensj用户的Outlook电子邮件客户端软件加载配制CA证书，并且接收wangzg用户发给自己的签名邮件，在回复邮件的时候进行数字签名和加密，操作如下图：

12．在PC1计算机上使用wangzg用户接收wensj的回复邮件：

2.3.2 配置企业从属CA
1．在huayu.com域内的成员服务器上安装“证书服务”，例如在huayu .com内成员服务器（Windows 2000 Server，IP地址为192.168.1.20）上安装企业从属CA，配置如图：

2．在PC1计算机上使用liumj用户到从属CA服务器上去申请证书。（在于控制器的邮件服务内建立用户liumj，使用liumj用户到企业从属CA服务器上申请证书并进行配置，）如图：

3．打开liumj用户的Outlook电子邮件客户端软件进行设置，如图：

4．新建一封邮件发给wangzg用户，使用数字证书签名。

5．在wangzg邮件用户中接受到liumj用户的邮件

6．回复邮件，使用数字证书加密。

7．用户liumj接受回复的加密邮件。

2.3.3 配置独立根CA
1．如果网络需要DNS服务器来做解析，那么DNS服务的配置如图：

2．在Server01计算机上，先安装好IIS服务，（如果需要DNS来解析域名，需要安装DNS服务。）然后再安装“证书服务”，配置独立根CA。如图所示：

3．在Web服务器先配置Web站点www.huayu.com，再通过IE浏览器连接独立根服务器ca.huayu.com，进行证书的申请，如图：

4．在Server01计算机上，颁发Web服务器申请的证书，如图：

 
5．在Web服务器上安装颁发完成的服务器证书，如图：

 

 
6．在Web服务器把安装的服务器证书配置Web站点中，如图：

 

7．在客户端PC1计算机（IP：192.168.1.11），访问www.huayu.com网站之前也要信任证书颁发机构ca.huayu.com，配置如图：

 
8．PC1计算机访问www.huayu.com网站，如图：

 
2.3.4 配置独立从属CA
1．在Server02计算机安装独立从属CA，如图：

申请文件的路径保存好，以后要找到这个路径的文件

2．到独立根CA服务器上申请证书，如图：

 
3．在Server01独立根CA服务器上，颁发独立从属CA证书，如图：

4．在Server02独立从属CA服务器上，检查自己申请挂起的证书，进行安装配置，如图：

保存到桌面上

5．验证时，客户端同样可以到独立从属CA服务器申请证书，并由独立从属CA服务器颁发使用，和前面的过程是一致的。