實驗環境:
LON-DC1 Windows2012R2 AD+CA
LON-CL1 Windows8.1 域客戶端+Office2013
LON-CL2 Windows8.1 域客戶端+Office2013
實驗目的:
將證書用於數字簽名,並驗證數字簽名是否可以保證數據的可靠性。
實驗步驟:
一、搭建企業CA
使用域管理員賬號登入LON-DC1,在LON-DC1上打開Powershell控制檯,輸入Add-WindowsFeature adcs-cert-authority,adcs-web-enrollment -IncludeManagementTools
命令執行完畢後,我們需要在服務器管理器中去配置AD證書服務,在服務器管理器的右上角的通知中,有一個***感嘆號,單擊感嘆號後會出現"配置目標服務器上的Active Directory證書服務"
點擊配置證書服務後,會出現一個新的窗口,如下圖,我們使用默認選項,直接點擊下一步
接下來會讓你勾選需要配置的角色服務,事先沒有安裝的角色在這裏是無法被勾選的,這裏我們因爲安裝了證書頒發機構和web註冊的角色,所以可以將這兩個選項勾選起來進行下一步的配置
接下來需要我們指定CA的設置類型,因爲我們是在域環境下,所以這裏保持默認的企業CA
選擇好設置類型後,我們需要設定CA類型,這裏我們使用默認選項 根CA
後續所有的設置都保持默認值,點擊下一步即可,最後我們可以看到整個的配置摘要,確認沒有錯誤或異常之後,直接點擊配置按鈕,開始配置證書服務
成功配置後,可以看到如下的畫面
二、客戶端申請用戶證書
用user1賬號登陸LON-CL1,然後運行mmc命令打開控制檯,在控制檯中選擇"文件"-"添加/刪除管理單元"-"證書"-"添加"-"確定"
展開添加的證書管理單元,右鍵選中"個人"-"所有任務"-"申請新證書"
單擊申請新證書後,出現的窗口中連續點擊兩次下一步,我們可以看到以下的畫面
我們勾選"用戶",然後點擊"註冊",成功註冊後如下圖所示,然後我們將此窗口和控制檯都關閉掉
三、對word文檔進行數字簽名
在LON-CL1上新建一個Word文件,在word裏面任意輸入一些內容並保存
在Word的工具欄中選擇"插入",然後選擇"簽名行",在下拉菜單中打開"Microsoft office簽名行"
將建議的簽名人,建議簽名人職務,電子郵件地址填入對應的信息,然後點擊"確認"
設定好籤名之後,可以看到在插入的位置會多出一個簽名圖標,右鍵點擊這個簽名圖標,選擇"簽署",將簽名簽署到文檔中
在彈出的窗口中,可以看到X的右邊有個空白欄位,可以添加你的個性圖片或者直接輸入你特定的內容,這裏我們就用user1來做例子,填寫好之後,我們點擊"簽名",隨後彈出的確認窗口直接確定即可
簽名成功後,文檔是不可修改的,可以看到"插入"選項中所有針對文檔內容編輯的按鈕都變成灰色了
四、驗證數字簽名是否能夠保證數據的可靠性
我們在LON-CL2上使用User2賬號登錄,假設User2依靠非法的手段獲得了LON-CL1上設置了數字簽名的word文檔,並且想將文檔中的內容修改,對於已經設置了數字簽名的文檔,有兩種方式可以修改它的內容,一種是打開文檔後會在上方的工具欄出現一個提示"仍然編輯",另一種是右鍵點擊數字簽名,選擇"刪除簽名"
刪除簽名之後,我們編輯內容,在內容中加入MODIFY,然後右鍵點擊文檔末尾的數字簽名,選擇"簽署",我們會看到以下提示,這是因爲user2沒有註冊用戶證書
那麼我們按照前面的步驟爲User2註冊一個用戶證書,然後再次點擊簽名執行"簽署",可以看到簽署成功,但是數字簽名中的簽署者變成了user2,因爲它這次簽名默認使用的是User2註冊的證書,它無法讓user2使用user1的證書,所以我們就可以知道這個信息已經被篡改過了,不是User1的原文件。