利用證書服務實現郵件加密
實驗環境:
1臺windows server 2003服務器和2臺客戶端PC
Server:dns+iis+mail(windows自帶)+證書服務
域名爲:wyj.com
Ip: 192.168.10.1/24
Client: outlook
PC-1: 192.168.10.10/24
PC-2:192.168.10.20/24
實驗步驟:
一、安裝並配置DNS、電子郵件服務、IIS服務,並測試郵件服務器是否正常使用
(1)安裝DNS並測試。
圖1-1-1 安裝DNS、pop3、IIS服務
圖1-1-2配置DNS服務,創建正向查找區域,添加相應的主機記錄和郵件交換記錄
圖1-1-3 測試dns服務
(2)配置郵件服務器和客戶端軟件並測試其是否能正常收發郵件
圖1-2-1添加pop3域
圖1-2-2開啓POP3服務,並創建u1和u2兩個郵箱賬號
圖1-2-3 配置電子郵件客戶端的顯示名
圖1-2-4 配置U1的電子郵件地址
圖1-2-5 配置POP3和SMTP服務器地址
圖1-2-6 添加郵件用戶名和密碼
圖1-2-7 郵件客戶端配置完成。U2同U1用戶,(不再演示)
圖1-2-8 u1用戶給u2用戶發送電子郵件測試它能否發送電子郵件
圖1-2-9 U2收到U1發來的郵件,說明u1的SMTP沒有問題,U2的pop3沒有問題
圖1-2-10 U2給U1發送電子郵件,U1收到U2發來的郵件。說明U2的smtp和U1的pop3沒有問題。郵件服務器正常
二、安裝證書服務器並
圖2-1-1 打開windows 組建嚮導
圖2-1-2選擇CA的類型
圖2-1-3 配置CA的識別信息。包括CA名稱,有效期等
圖2-1-4 配置證書服務器的數據庫和日誌文件保存的位置
圖2-1-5 正在配置= 組建
圖2-1-6證書服務器安裝完成
三、客戶端證書的申請與頒發,爲郵件加密使用(以U1爲例)
(1)爲客戶端申請證書
圖3-1-1在U1客戶端瀏覽器上輸入“www.wyj.com/certsrv”打開證書申請界面,選擇“申請一個證書”然後點擊下一步
圖3-1-2 選擇“電子郵件保護證書”,點擊下一步
圖3-1-3 填寫識別信息
圖3-1-4 選擇“提交”,點擊“是”
圖3-1-5 證書申請完成
(2)爲客戶端頒發證書
圖3-2-1在證書服務器上“選擇證書頒發機構”,然後選擇“掛起的證書”右鍵單擊選擇客戶申請,選擇“所有任務”,然後選擇“頒發”,將證書頒發給用戶
(3)爲客戶端安裝證書
圖3-3-1在U1客戶端瀏覽器上再次輸入“www.wyj.com/certsrv”打開證書申請界面,選擇“查看掛起的證書申請的狀態”選擇電子郵件保護證書
圖3-3-2 選擇安裝此證書,並點擊“是”
圖3-3-3 再次點擊“是”
圖3-3-4 此時該證書已安裝完成(U2用戶證書頒發與U1相同,此處不在演示)
四、接下來要交換對方的公鑰用於郵件加密和簽名
(1)導出證書
圖4-1-1 在U1的計算機上打開IE瀏覽器,選擇“工具”----“Internet選項”----選擇“內容”選項卡
圖4-1-2 單擊“證書”按鈕,在證書對話框中選擇“個人”標籤,查看上面申請到的證書
圖 4-1-3 選中“U1”證書,單擊“導出”按鈕,即打開證書導出嚮導
圖4-1-5要了保證私鑰的安全性,選擇“不,不要導出私鑰”
圖4-1-6 選擇導出的文件格式,單擊“下一步“
圖4-1-7 選擇導出的文件路徑和文件名稱(此處導出到桌面,文件名爲U1-public)
圖4-1-8 然後單擊下一步,選擇“選擇完成按鈕“
到此處爲止U1的證書公鑰導出到桌面。U2用戶方法好U1用戶類似,此處不再演示。
(2)證書的交換
證書導出之後,可以利用發送郵件的方式將自己的公鑰發送給對方
注意:在發送公鑰的時候,要將公鑰的文件名後綴更改爲“txt“,因爲在發送郵件的時如果不改文件類型,附件內容的對方將不能下載到本地。也可以將公鑰打包壓縮發送給對方。此處這裏就不在演示。(本部分可以省略,在發送簽名時,就已經將對方的公鑰導入到自己的郵件客戶端裏)
五、測試實驗
(1)將對方的證書導入到郵件客戶端裏
圖5-1-1要進行郵件的加密,必須將對方的證書導入到郵件客戶端軟件裏,打開outlook軟件------工具------選項
圖5-1-2 選擇“數字標識“,單價導入按鈕
圖5-1-3 打開證書導入嚮導
圖5-1-4 選擇要導入的證書(這裏是在U1上,應該將U2的證書導入),然後單擊下一步
圖5-1-5 選擇證書存放的位置,默認爲“證書---個人“裏面,然後單擊下一步
圖5-1-6 選擇完成按鈕,證書導入完成,在在U2上將U1的證書導入,方法與U1導入U2的證書類似,此處不再演示。
(本部分可以省略,在發送簽名時,就已經將對方的公鑰導入到自己的郵件客戶端裏)
(2)測試最後的試驗效果
圖5-2-1 用U2用戶給U2用戶發送簽名的文件,
圖5-2-2 在U2上查看文件是否簽名
圖5-2-3 在U2上可以查看簽名的內容。加密郵件成功
圖5-2-4用U1用戶給U2用戶發送加密的文件
圖5-2-5 ,在U2上查看文件是否加密
圖5-2-6 U1可以查看加密的內容。加密郵件成功
總結:
以上是利用windows server 2003提供的證書服務實現對郵件的加密和簽名,從而實現了郵件傳輸的安全性。除了利用證書服務對郵件進行加密外,還以利用PGP軟件實現對郵件的加密。
實驗完成