网络课程设计报告--Windows证书服务的安装与应用.docVIP

计算机网络课程设计Windows证书服务的安装与应用成域控制器请在PC机上安装虚拟机软件VMware7.1汉化版。然后启动VMware Workstation，开设三台虚拟机，一台装Windows2008标准版(或2003版)并安装成域控制器(域名)，一台装Windows2008(或2003)并加入域，再一台装Windows XP(或vista)，其中Windows XP先不加入域，三台的IP都设置在192.168.1.X这同一网段内。同时将实体机也配置成能与这三台虚拟机通信。安装成域控制器DC(Win2k3-AD-Server)域名为故意修改配置 密码：lxd 安装Web服务器IIS： 新建网站： 其他电脑访问web（还没有做那个dns解析，先用ip地址访问）域名服务器DNS 另外一台Win2k3加入该域 用户名和密码都是我系统登入时的密码 能够访问到Win2k3-AD-Server的Web服务器的主页(http:/www.jmuXXX.com) 安装证书服务在已安装域控制器的机子上安装证书服务。选择建立企业CA服务，注意不要选“证书颁发机构Web服务”。完成后分别在另两台虚拟机上申请与安装证书：(在安装CA服务和安装证书前做好快照)安装证书（1）CA（主机A）安装证书服务 主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，然后单击“下一步”。在接下来的安装过程中依次要确定如下信息：CA类型（选择独立根CA）CA的公用名称 证书数据库设置（默认）在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:ExpNISEncrypt-LabToolsWindowsCAi386即可（若安装过程中出现提示信息，请忽略该提示继续安装）。asp的选择“是”在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。1.在MMC中添加管理单元“证书”，申请个人的新证书。在MMC中添加管理单元“证书”，申请个人的新证书。在证书服务器上注册完成后，在本客户端安装证书。此时可以向对方发送加密的和签名的文件。导出和导入证书服务端-颁发者Win2k3_2(AD_Server) 客户端申请者：Win2k3(CA_Client) 由于我们自己创建的网站里面没有那些服务，所以我就仍然使用默认网站web： 在CA颁发机构查看： 客户端申请者：XP客户端查看颁发证书 客户端单击IE浏览器的“工具”“Internet选项”“内容”“证书”，会在“个人”页签中看到同组主机CA颁发给自己的证书为了能上网，我只能把网卡换成vmware8 ，这样才可以大家上网。：此时可以向对方发送加密的和签名的文件。导出和导入证书安全电子邮件1主机B、C创建邮件账户 具体创建方法参照附录AOutlook Express配置方法。 通过单击“发送和接收”按钮或Ctrl+M快捷键，测试邮件账户是否创建成功。在Windows XP 系统中添加Outlook Express打开Windows控制面板，在“添加/删除程序”中选择“添加/删除Windows组件”。在打开的Windows组件界面中，勾选“OutlookExpress” ，然后下一步，直至“完成”即完成了Outlook Express的安装。Windows XP：smtp发送服务器需要身份验证的设定方法： 用Outlook Express 的用户： 单击 工具 菜单，然后单击帐号， 选定关于帐号，单击 属性，选中 服务器 菜单，可以看到弹出框下部有外发邮件服务器 ，选中 我的服务器要求身份验证 并单击旁边的 设置， 登录信息选择 使用与接收邮件服务器相同的设置 ，最后确认就可以了。 收件箱:Windows 2003：很奇怪的是，那个未加入域 的XP 发送的文件，然后加入域的2003 收到文件之后，会发送有一个htm形式的附件：而加入域的2003 发给XP，则是正常的情况：打开附件：由于用outlook express发邮件时，发现用企业CA申请的证书，在签署证书这边没能有相应的证书可以选择，因此发送的邮件不能进行相应的签名和加密。2邮件用户（主机B、C）申请电子邮件保护证书 （1）邮件用户在IE浏览器地址栏中输入“http:/CA的IP/certsrv/”并确认，访问CA的证书申请页面。 （2）邮件用户通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”，申请一张电子邮件保护证书。 在“识别信息”中填入相关信息。在填写识别信息时，姓名填写userGX，其中其中G表示所属实验组号（1-32），X表示主机编号（A-F），如第2组主机D姓名为user2D；电子邮件地址必须是本机Outlook Express使用的邮件地址userGXCServer.Netlab。 在“需要的证书类型”中选择“电子邮件保护证书”。 在“密钥选项”中选中“标记密钥为可导出”，其它选项保持默认设置，然后提交信息。 （3）CA为邮件用户颁发电子邮件保护证书。（4）邮件用户通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“安装证书”将数字证书安装好。3邮件用户设置Outlook Express依次单击“开始”“程序”“Outlook Express”，通过Outlook Express“工具”|“帐户”|“邮件”|“属性”，打开“属性”选项卡，单击“安全”页签，在“签署证书”中单击“选择”按钮，出现“选择默认帐户数字ID”对话框，选择安装好的数字证书，单击“确定”|“确定”|“关闭”使设置生效。没有可信任的证书解决4发送签名电子邮件（未加密） （1）邮件用户创建新邮件 单击Outlook Express中的“创建邮件”，在“收件人”栏写入对方（另外一个邮件用户）的邮件地址，主题和内容任意，先不要发送。 （2）使用数字证书为邮件签名 单击新邮件的“工具”|“数字签名”为邮件签名，此时会在收件人后面出现一个签名的小标志。 （3）发送邮件 单击新邮件的“发送”按钮将邮件发出。 （4）邮件用户接收到对方（另外一个邮件用户）的邮件并查看签名 单击Outlook Express的“发送/接收”按钮，接收对方发来的邮件。 当打开对方发来的邮件时，可看到邮件有数字签名的标识和提示信息。 单击“继续”按钮即可阅读到邮件的内容。5发送加密电子邮件 （1）邮件用户使用包含对方数字签名的邮件获得对方的数字证书 邮件用户打开收到的有对方签名的电子邮件。 单击此邮件的“文件”|“属性”|“安全”，单击“查看证书”按钮将数字标识添加到通讯簿中，此时对方的数字证书即被添加到自己的通讯簿中。 打开IE浏览器，在“工具”|“Internet选项”|“内容”|“证书”|“其他人”中，查看刚添加的数字证书（确定证书存在）。 （2）邮件用户创建新邮件并加密 邮件用户单击Outlook Express中的“创建邮件”按钮，在“收件人”栏中写入对方的邮件地址，主题和内容任意。 单击新邮件的“工具”|“加密”为邮件加密，此时会在收件人后面出现一个加密的小标志。单击“发送”按钮发送邮件。 （3）接收对方的加密邮件并阅读该邮件 单击Outlook Express的“发送/接收”按钮，接收对方发来的邮件。打开收到的加密邮件时，会看到“安全警告”的提示信息，单击“继续”即可阅读到此邮件的内容。6邮件用户验证邮件的加密作用 （1）导出证书 邮件用户单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”，确认在“个人”页签中存在CA颁发给自己的证书。 在“个人”页签中选中CA颁发给自己的证书，单击“导出”，此时出现“证书导出向导”，单击“下一步”。 在“导出私钥”中选择“是，导出私钥”，单击“下一步”。 “导出文件格式”选择默认设置，单击“下一步”。 输入密码并确认密码，单击“下一步”。 在“要导出的文件”中为导出的证书指定文件名和路径，单击“下一步”直到“完成”，此时“证书导出向导”提示“导出成功”，单击“确定”。此时可以在指定的位置上看到指定文件名的.pfx格式的证书备份文件。 （2）删除证书后查看加密邮件 主机B、主机C向对方发送加密邮件。 主机B、主机C单击Outlook Express的“发送/接收”确认接收到对方的加密邮件后，不打开邮件阅读。在IE浏览器的“工具”|“Internet选项”|“内容”|“证书”选项卡的“个人”页签中选中刚备份的证书，单击“删除”出现提示信息“不能解密用证书加密的数据，要删除证书吗？”，单击“是”将此证书删除。 主机B、主机C到Outlook Express中阅读对方发来的加密邮件，会看到信息“对邮件加密时出错”而无法阅读邮件。 （3）导入证书后查看加密邮件。 邮件用户到指定位置找到证书的备份文件，双击备份文件出现“证书导入向导”，单击“下一步”。 在“要导入的文件”中指定要导入的备份文件，单击“下一步”。 输入密码，单击“下一步”。 在“证书存储”中，选择“将所有证书放入下列存储”，单击“浏览”，选择“个人”，单击“确定”|“下一步”直到“完成”。 “证书导入向导”提示“导入成功”，此时又可以在IE浏览器的“工具”|“Internet选项”|“内容”|“证书”会在“个人”页签中看到CA颁发给自己的证书。 主机B、主机C到Outlook Express中阅读刚才无法阅读的加密邮件，当打开加密邮件时，会看到“安全警告”的提示信息，单击“继续”后，即可阅读到此邮件的内容。 2.导出和导入证书，导出和导入证书，将证书导出到实机，然后用快照恢复到未安装证书状态，试试发送文件与有证书时有何不同。Xp: Win2003导入XP的ca,这样我们才可以发送文件的时候使用加密或者签字，这样安全发送给XP用户。将XP的ca证书复制到2003上： 3. 证书的备份和还原，证书的备份和还原，以及证书的吊销。并测试被吊销的证书与未吊销的不同处。（1）CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“备份CA”，此时出现“证书颁发机构备份向导”，单击“下一步”。 在“选择要备份的项目”中选中两个选项。“备份到这个位置中”选择一个新建的空目录，单击“下一步”。输入密码并确认密码，单击“下一步”直到“完成”。在“颁发的证书”目录中，选择个证书右键单击此证书选择“所有任务”|“吊销证书”。此时弹出对话框要求指定“理由码”，选择任意“理由码”单击确定。此时选择的证书已经转移到“吊销的证书”目录中，右键单击此证书选择“所有任务”|“解除吊销证书”。 ，此时出现提示信息“取消吊销命令失败”，单击“确定”（2）CA在“证书颁发机构”的左侧树状结构中右键单击“CA的名称”|“所有任务”|“还原CA”，此时出现“证书颁发机构还原向导”提示要立即关闭证书服务，单击“确定”。出现“证书颁发机构还原向导”，单击“下一步”。在“选择要还原的项目”中选中两个选项。“从这个位置还原”选择CA备份的目录，单击“下一步”。输入密码，单击“下一步”直到“完成”。“证书颁发机构还原向导”提示要启动证书服务，单击“是”启动证书服务。 此时检查刚才被吊销的证书，已经从“吊销的证书”目录中还原回“颁发的证书”目录中。 4. XP的虚拟机也加入域将安装XP的虚拟机也加入域，分析加入域与不加入域，在使用、操作和安全保障上有何不同。XP不加入域的操作:XP系统的客户端未安装证书作为发送方，只能正常的使用（此时如果使用加密与数字签名方式发送会提示不能用数字签名与加密等信息）：5. 证书是基于PKI结构的安全体系。证书是基于PKI结构的安全体系。请问服务器和各个客户端的公钥和私钥在哪？如何保管好证书不被泄露？服务器公钥与私钥各放在各自的电脑上，公钥是公开的；申请证书的时候，会得到一个私钥和一个数字证书，数字证书中包含一个公钥。其中公钥可以发给他人使用，而私钥应该由用户保管好、不能泄露给其他人，导出证书的时候，认真确定密钥是否需要导出，即便私钥导出后，要设置密码。6. 在XP客户端(加入域和不加入域两种情况都要实验)在XP客户端(加入域和不加入域两种情况都要实验)，试着用加密方式向服务器端和另一台客户机发送文档，写出过程、结果并分析原因。不加入域一、XP系统的客户端未安装证书作为发送方，只能正常的使用（使用加密与数字签名方式发送会提示不能用数字签名与加密等信息）： 此时装了证书的客服端 (装了证书的服务器也一样)向XP系统发送邮件，不能发送加密的邮件，可以发送数字签名邮件，但接收方接收到的邮件，显示签名不可信，截图如下：二、XP系统的客户端安装证书，使用加密方式发