在windows 2003下利用證書服務實現郵件加密與簽名

 利用證書服務實現郵件加密

實驗環境：

1臺windows server 2003服務器和2臺客戶端PC

Server：dns+iis+mail(windows自帶)+證書服務

域名爲：wyj.com

   Ip：    192.168.10.1/24

Client: outlook

PC-1:  192.168.10.10/24

PC-2：192.168.10.20/24

實驗步驟：

一、安裝並配置DNS、電子郵件服務、IIS服務，並測試郵件服務器是否正常使用

（1）安裝DNS並測試。

圖1-1-1 安裝DNS、pop3、IIS服務

圖1-1-2配置DNS服務，創建正向查找區域，添加相應的主機記錄和郵件交換記錄

圖1-1-3 測試dns服務

（2）配置郵件服務器和客戶端軟件並測試其是否能正常收發郵件

圖1-2-1添加pop3域

圖1-2-2開啓POP3服務，並創建u1和u2兩個郵箱賬號

圖1-2-3 配置電子郵件客戶端的顯示名

圖1-2-4 配置U1的電子郵件地址

圖1-2-5 配置POP3和SMTP服務器地址

圖1-2-6 添加郵件用戶名和密碼

圖1-2-7 郵件客戶端配置完成。U2同U1用戶，（不再演示）

圖1-2-8  u1用戶給u2用戶發送電子郵件測試它能否發送電子郵件

圖1-2-9  U2收到U1發來的郵件，說明u1的SMTP沒有問題，U2的pop3沒有問題

圖1-2-10   U2給U1發送電子郵件，U1收到U2發來的郵件。說明U2的smtp和U1的pop3沒有問題。郵件服務器正常

 

二、安裝證書服務器並

圖2-1-1 打開windows 組建嚮導

圖2-1-2選擇CA的類型

圖2-1-3 配置CA的識別信息。包括CA名稱，有效期等

圖2-1-4 配置證書服務器的數據庫和日誌文件保存的位置

圖2-1-5 正在配置= 組建

圖2-1-6證書服務器安裝完成

 

 

三、客戶端證書的申請與頒發，爲郵件加密使用（以U1爲例）

（1）爲客戶端申請證書

圖3-1-1在U1客戶端瀏覽器上輸入“www.wyj.com/certsrv”打開證書申請界面，選擇“申請一個證書”然後點擊下一步

圖3-1-2 選擇“電子郵件保護證書”，點擊下一步

圖3-1-3 填寫識別信息

圖3-1-4 選擇“提交”，點擊“是”

圖3-1-5 證書申請完成

（2）爲客戶端頒發證書

圖3-2-1在證書服務器上“選擇證書頒發機構”,然後選擇“掛起的證書”右鍵單擊選擇客戶申請,選擇“所有任務”，然後選擇“頒發”，將證書頒發給用戶

（3）爲客戶端安裝證書

 

圖3-3-1在U1客戶端瀏覽器上再次輸入“www.wyj.com/certsrv”打開證書申請界面,選擇“查看掛起的證書申請的狀態”選擇電子郵件保護證書

圖3-3-2 選擇安裝此證書，並點擊“是”

圖3-3-3 再次點擊“是”

 

圖3-3-4 此時該證書已安裝完成（U2用戶證書頒發與U1相同，此處不在演示）

 

 

四、接下來要交換對方的公鑰用於郵件加密和簽名

（1）導出證書

圖4-1-1 在U1的計算機上打開IE瀏覽器，選擇“工具”----“Internet選項”----選擇“內容”選項卡

圖4-1-2 單擊“證書”按鈕，在證書對話框中選擇“個人”標籤，查看上面申請到的證書

圖 4-1-3 選中“U1”證書，單擊“導出”按鈕，即打開證書導出嚮導

圖4-1-5要了保證私鑰的安全性，選擇“不，不要導出私鑰”

 

圖4-1-6 選擇導出的文件格式，單擊“下一步“

圖4-1-7 選擇導出的文件路徑和文件名稱（此處導出到桌面，文件名爲U1-public）

圖4-1-8 然後單擊下一步，選擇“選擇完成按鈕“

到此處爲止U1的證書公鑰導出到桌面。U2用戶方法好U1用戶類似，此處不再演示。

（2）證書的交換

證書導出之後，可以利用發送郵件的方式將自己的公鑰發送給對方

注意：在發送公鑰的時候，要將公鑰的文件名後綴更改爲“txt“，因爲在發送郵件的時如果不改文件類型，附件內容的對方將不能下載到本地。也可以將公鑰打包壓縮發送給對方。此處這裏就不在演示。（本部分可以省略，在發送簽名時，就已經將對方的公鑰導入到自己的郵件客戶端裏）

五、測試實驗

（1）將對方的證書導入到郵件客戶端裏

圖5-1-1要進行郵件的加密，必須將對方的證書導入到郵件客戶端軟件裏，打開outlook軟件------工具------選項

圖5-1-2 選擇“數字標識“，單價導入按鈕

圖5-1-3 打開證書導入嚮導

圖5-1-4 選擇要導入的證書（這裏是在U1上，應該將U2的證書導入），然後單擊下一步

圖5-1-5 選擇證書存放的位置，默認爲“證書---個人“裏面，然後單擊下一步

圖5-1-6 選擇完成按鈕，證書導入完成，在在U2上將U1的證書導入，方法與U1導入U2的證書類似，此處不再演示。

（本部分可以省略，在發送簽名時，就已經將對方的公鑰導入到自己的郵件客戶端裏）

 

（2）測試最後的試驗效果

圖5-2-1 用U2用戶給U2用戶發送簽名的文件，

圖5-2-2 在U2上查看文件是否簽名

 

圖5-2-3 在U2上可以查看簽名的內容。加密郵件成功

 

圖5-2-4用U1用戶給U2用戶發送加密的文件

圖5-2-5 ，在U2上查看文件是否加密

 

圖5-2-6 U1可以查看加密的內容。加密郵件成功

 

 

總結：

以上是利用windows  server 2003提供的證書服務實現對郵件的加密和簽名，從而實現了郵件傳輸的安全性。除了利用證書服務對郵件進行加密外，還以利用PGP軟件實現對郵件的加密。

 

實驗完成