CA數字證書服務的配置、搭建安全的WEB服務器、安全的郵件服務器

1.什麼是數字證書

         數字證書在網絡上類似於人在社會上持有的***等證件，用來在網絡上證明數字證書持有者的身份。數字證書持有者可能是現實社會中的自然人、法人，也可能是網絡設備。數字證書可以簡單理解爲“網絡***”，用來在網絡上證明自己的身份。

2.數字證書上面主要包括那些信息？

         數字證書上面主要包括以下信息：證書版本號、證書持有者信息、證書籤發者(CA)信息、證書起止有效期、證書序列號、證書籤發者的簽名等。這些信息與身份 證類似。證書籤發者對數字證書的簽名可以起到對數字證書本身的防僞作用，這與***上的公章類似。但CA中心對證書的數字簽名是不可能被僞造的。

實驗目的：CA服務的搭建

實驗環境：

主機名：fanlj      IP地址：192.168.1.30   

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

1、修改配置文件，dir代表 CA存放的目錄，certs代表保存簽入數字證書的目錄，crl_dir代表證書吊銷列表存放的目錄，database代表簽入數字證書的信息默認是不存在需要創建， new_certs_dir代表用於存放新證書存放的位置，certificate代表根證書（公鑰信息），serial代表序列號文件默認是不存在需要創建，crlnamber代表證書吊銷列表的編號，private-key代表私鑰信息。

2、創建相應的文件和目錄

3、生成CA的私鑰文件用openssl命令生成 genrsa代表生成私鑰 -des3代表對稱加密 2048代表密鑰的長度，並且修改權限只有管理員有權限。

4、根據私鑰生成公鑰：需要輸入保護私鑰的密碼。提示的問題，國家、城市、省份、公司名這四項必須和openssl.cnf中設置的完全一致，否則會失敗，-new生成一個新的文件 ，-x509代表根證書的格式，-key my_ca.key用私鑰生成公鑰。

5.查看根證書的信息x509代表證書的格式，-in my.ca.crt從哪個證書的信息，-noout  -text 代表以文本的格式在屏幕上輸入。

實驗目的：搭建安全的WEB服務器

實驗環境：

web服務器：主機名：waiwang     IP地址：192.168.1.20   

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

CA服務器：主機名：fanlj     IP地址：192.168.1.30

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

客戶端：主機名：fanxiaohui   IP地址：192.168.1.40

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

實驗要求：

當客戶端訪問web頁面時直接出現頁面，不會出現有風險的提示信息。

一、WEB服務器生成密鑰對

1、生成私鑰

2、根據私鑰生成證書請求文件

二、把CSR文件上傳至CA

查看csr文件內容

三、CA簽發證書

1、簽發證書

查看簽名的文件的大小

2、驗證

四、WEB服務器下載證書並且佈署

1、下載證書

2、將證書拷貝到/etc/pki/tls/certs

3、安裝mod_ssl

4、編輯配置文件

# vim /etc/httpd/conf.d/ssl.conf

5、當訪問http協議時，自動跳轉到https

在ssl.conf中加入：

6、重啓web服務器

五、客戶端訪問

https://www.tarena.com

提示證書不受信任，因爲客戶端沒有信任CA

客戶端將CA的根證書安裝上，再次訪問就不會再有提示。

上面提示CA沒有被信任，下載根證書。

實驗目的：搭建安全的mail服務器

實驗環境：

客戶端：主機名：waiwang     IP地址：192.168.1.20   

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

CA服務器：主機名：fanlj     IP地址：192.168.1.30

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

mail服務器：主機名：fanxiaohui   IP地址：192.168.1.40

系統環境：Red Hat Enterprise Linux Server release 6.5(Santiago)

實驗要求：

當用戶用抓包工具進行時，出現的都是亂碼，無法破解郵件的信息。

一。搭建郵件服務器

1.  安裝軟件包postfix

2.修改主配置文件

3.啓動postfix服務

4.安裝dovecot軟件包

5.修改主配置文件

6啓動dovecot服務

二。配置私鑰和公鑰

郵件服務器生成 私鑰，根據私鑰生成csr文件。

查看csr的信息

上傳該文件到CA服務器上進行簽署證書

查看crt的信息

驗證crt的信息

拷貝 crt文件到郵件服務器上

三。配置安全的郵件服務器

修改postfix主配置文件

修改dovecot主配置文件

重新啓動服務