CA.docx
- 文档编号:30037042
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:20
- 大小:577.94KB
CA.docx
《CA.docx》由会员分享,可在线阅读,更多相关《CA.docx(20页珍藏版)》请在冰豆网上搜索。
CA
百日千才MCSE课程实验手册
CA验证邮件服务
实验环境:
在局域网中建立一台DC,当中集成DNS、WEB、STMP、POP等服务器,两台CLIENT(这里我们分别表示为MAKE、LIKE两个域用户)
MAKE用CA证书向LIKE发出有数字签名并加密
的电子邮件
Client(MAKE@)
DC()
用来颁发CA证书
提供邮件服务
LIKE用CA证书来解读MA
KE发过来的邮件
Client(LIKE@)
主要目的:
域用户之间互发有数字签名及可加密的邮件,验证申请的CA证书是否有效,了解CA、邮件服务器架设的基本知识。
实验基础知识:
为了使大家理解,在这里讲讲基本理论知识先
微软的PKI(PublieKeyInfrastructure,公钥基础设施)及功能
当大家在上网互相通讯时,这些通讯信息容易被别人用各种手段获取并串改,而PKI可以确保大家在发送和接受各类信息时的安全性。
(除非碰到PROFESSIONALHACK
)
PKI提供的功能有:
1.加密(Encryption)发送的信息。
2.验证信息(Authentication),确认信息的完整性。
PKI根据公开密钥密码学来提供信息加密与身份验证功能。
而用户则需要用公开密钥、私有密钥及CA证书来支持这些功能。
CertificationAuthority(CA)
CA发放的证书就象我们日常生活中的驾照一样,除了要有车钥匙还必须有驾照才能开车。
而在虚拟的网络环境中我们为了网络安全必须向CA申请Certification(证书)或数字识别码(digitalID)才能使用公有密钥和私有密钥来进行加密及身份验证工作,这个发放证书的机构我们称为CA(证书认证机构)。
用户公有密钥与私有密钥的产生
当用户申请证书时,必须输入申请信息(如:
姓名、地址、电子邮件等),这些信息会被发送到一个称为CSP的程序(这个程序在安装系统时会自动安装),CSP会自动建立一对密钥,公有密钥及私有密钥,CSP将私有密钥储存到用户计算机的注册表中,将公有密钥及证书申请的信息一起发送到CA。
CA检查这些信息无误后,它会利用CA自己的私有密钥将要发放的证书加以签名,然后发放此证书。
用户收到证书后,将证书安装到他的计算机内。
WINDOWSSERVER2003电子邮件(EMAIL)服务器
win2003是通过POP3和SMTP服务来提供的完整的电子邮件服务,它们分别负责不同的工作:
POP3服务是一个用来接收EMAIL的服务,它会从“邮件存放区”中读取属于某一用户的EMAIL。
SMTP服务是用来发送EMAIL的服务,它同时负责发送EMIAL到其他STMP服务器上,也负责接收其他SMTP服务器的EMIAL并将其储存到“邮件存放区”。
(注:
这里的“邮件存放区”是架构在SMTP服务器里存放邮件的文件夹)
实验步骤:
由于这里主要讲解CA及邮件服务器的架构,其他的服务器我就不多说了。
(银河人都知道!
)
一、建立DNS服务器,区域名称为。
二、建立DC(域用户这里可以先不用建)。
三、建立IIS服务及邮件服务器:
1.
打开“控制面版”→“添加删除程序”→“添加组件”,在这里先在“电子邮件服务”前打√,再添加IIS信息服务里的WEB、SMTPservice及其他相关的服务(如图1所示)。
2.安装完成后点击“开始菜单”→运行→输入“MMC”回车→选择“文件”→“添加删除管理单元”→添加“Internet信息服务(IIS)管理器”和“POP3服务”→确定
四、建立企业根CA:
1.打开“控制面版”→“添加删除程序”→“添加组件”,在“证书服务”前打√(如图1所示)。
2.单击“下一步”,在弹出的对话框中选择CA类型为“企业根CA”。
3.单击“下一步”,在“此CA的公用名称”中输入hjinfo表示证书颁发机构的名称,这里的证书有效期限默认为5年。
4.单击“下一步”,这里表示存放证书的文件夹路径。
再次单击下一步,在弹出的对话框中选择“是”,开始安装证书。
5.在安装过程中,若出现图中所示的画面,请单击“是”按钮来启用ASP,以便让用户可以通过WEB浏览器来向此CA申请证书。
6.安装完成后,可以通过“开始”→“管理工具”→“证书颁发机构”的途径来管理CA(如图所示)。
五、建立域用户及邮件帐户
1.在“管理工具”中选择“POP3服务”,点击“新域”,在弹出的输入框中输入“”→确定
2.选择新建好的域,并单击“添加邮箱”,然后输入邮箱名称及密码,例如:
LIKE,表示其邮箱名称为like@。
在这里我们也选择了“为此邮箱创建相关联的用户”,这个选项表示要在域的USERS文件夹中自动创建一个域帐户,大家可以通过活动目录来检查这个用户(如果你已经建立了一个域帐户可以将√去掉),我们按照上述方法再创建MAKE的帐户。
3.在帐户创建过程中我们可以看到POP3服务器要求用户选择身份验证的方式,如果用户使用明文身份验证,则当用户连接POP3服务器时,必须使用“like@”的帐户名称来连接POP3服务器;如果使用安全密码的方式,则用户必须在连接POP3服务器使必须使用like这个帐户名称。
六、域用户向企业根CA申请证书:
用户向CA申请证书的方式有两种,这里我为了节省时间,只介绍其中的“利用WEB浏览器向企业根CA申请证书”(这种方式也是现代网络上最流行的一种)
1.这里假设用户LIKE在他的计算机上登陆,打开IE浏览器并输入http:
//CA的计算机名或IP地址/certsrv/回车,在这里CA的IP地址为192.168.0.9
2.在弹出的对话框中输入域用户的帐户和密码→确定。
3.在网页中点击“申请一个证书”→用户证书→点击“提交”按钮,这时企业根CA在收到申请信息后会自动核准与发放证书,然后点击“安装此证书”,申请完成。
七、MAKE利用证书来发送经过签名与加密的电子邮件给LIKE
1.首先,MAKE和LIKE在各自的客户机上运行“OutlookExpress”
2.根据向导创建各自的客户端电子邮件帐户,然后选择工具栏中的“工具”→“帐户”→“邮件”,然后选择各自的帐户单击“属性”→“安全”→“选择”→在弹出的对话框中选择刚申请的证书→确定→关闭
3.MAKE单击画面左上角的“创建邮件”按钮来编辑要发送的邮件,编辑好收件人LIKE的地址和邮件内容后,依次单击“签名”、“加密”,完成后点击发送按钮。
3.LIKE在其客户机上点击“发送/接收”图标,来接收MAKE发送过来的邮件,单击文件夹框中的“收件箱”会在画面的左边看到MAKE发来的电子邮件,在其名字的左边会有一个加了锁的文件夹标识(代表加密);只要选取这封邮件,MAKE就会被加入到LIKE的通讯薄内,在联系人框中会显示其名称及签名标识。
4.LIKE在读取邮件内容时,画面会显示安全性说明,从中可以看到这是一封签了名的加密邮件。
5.如果邮件没有被篡改,证书没有过期,在点击继续按钮后可以正常地看到此封邮件的内容。
6.如果这封邮件有错误,例如证书期限已过或证书已被吊销,LIKE在阅读时会显示安全警告画面,这时LIKE还是可以单击“打开邮件”或“查看数字标识”来阅读此邮件,只是在阅读时会看到在“安全”字段里的警告。
实验完成
作者:
KEN
(请大家体谅,做的这么辛苦怎么也得露露脸哈)
附言
这个实验只是CA实验中的一小部分,有什么不足请大家多多参与讨论。
如果谁能拿到银行网站模板,我们可以一起研究下吴老师说的招商银行的CA验证,基本信息如下:
“网上银行”是指通过Internet或其它公用信息网,将客户的电脑终端连接至银行,实现将银行服务直接送到客户家中或办公室的服务系统。
它拉近了客户与银行的距离,使客户不再受限于银行的地理环境、上班时间,大大方便了客户与银行之间的联系。
对于银行来说,网上银行业务则可在最大程度上扩展银行的营业场所和营业时间,还可以节约大量的人力和场地成本。
随着网络技术的发展和普及,越来越多的个人用户开始接受这种全新的快捷金融服务。
从2004年北京国际投资理财博览会银行个人理财服务系列调查的网上调查结果来看,位居“存取最快捷的银行卡”前三位的是:
招商银行一卡通、中国工商银行牡丹卡和中国建设银行龙卡,本文下面就以招商银行为例,向大家介绍如何申请和使用网上的“个人银行”,与大家分享网上“个人银行”带来的便利和快捷。
招商银行的个人网上银行“一网通”已经成为该银行的招牌业务,一直受到网民们的喜爱,也成为其他网上银行的追赶对象,从目前的情况来看,“一网通”无论在功能、易用性和用户普及程度上都仍然是当仁不让的No.1。
招商银行的个人网上银行分为大众版和专业版,表面上看两者的区别在于专业版功能更全,但其本质区别在于安全级别:
大众版无需数字安全证书,专业版必须申请并安装了数字安全证书才能使用。
大众版的好处是无需到柜台办理任何手续,只要你手中有招商银行一卡通,即可通过Internet马上进行操作(使用网页浏览器即可),它的通行证就是卡号和查询密码(如果你以前没有修改过查询密码,可以通过电话银行或ATM更改原始查询密码)。
你可以查询您的账户余额、当天交易和历史交易,比较方便的理财功能是卡内定活互转,你可以在一张一卡通账户内开设几个定期存款账户(它还支持零存整取和教育储蓄功能),这样想把活期中的钱存个定期什么的就不用跑到柜台去排队了。
另外两个比较实用的功能是网上支付和自助缴费。
由于涉及到账户款项的支出,这两个环节需要你在网上再进行一次申请才能使用,申请的过程并不复杂,申请之后马上就可以进行相应的操作。
目前网上用于窃取用户密码的木马软件层出不穷,从安全角度考虑,笔者并不建议大家在大众版使用涉及对外支付的功能,用大众版来查查账即可,反正只涉及查询密码(切记,千万不要把查询密码和取款密码设为一样,否则后果会很严重哟!
),即便被人窃取也不能用来对外支付。
一个重要的安全原则就是不要在使用大众版时输入取款密码,这样就能基本保证账户的安全了。
如果说大众版有什么不足的话,那就是它未能把几个模块(如一卡通理财、支付卡理财、一卡通缴费、国债投资等)的功能集成到一起,如果想进行功能切换,你必须重新登录其他的模块才行,有点麻烦。
个人网上银行专业版需要你带着一卡通银行卡和本人身份证到柜台申请,申请费用为5元(各地可能有所不同)。
申请完成后你会获得一个授权码,回去之后首先你需要从网上下载招商银行网上银行专业版的专用软件(目前最新的是4.5版),然后输入授权码启用证书,大约60分钟后用同一台电脑登录即可下载一个数字安全证书,这样你就取得了一张使用个人网上银行专业版的电子身份证。
每次登录专业版,该软件都会对你的证书信息进行在线认证,以确保不是他人冒用(没有证书是无法登录的)。
该专业版软件还提供了对证书的备份和恢复功能,这样一来你如果换一台机器或者重装了系统也可以恢复证书进行操作。
如果不想再跑银行,你应该及时对证书进行备份。
注意,专业版最多可支持同一用户的5张一卡通,如果你有多张卡,置于专业版中统一管理相当方便,但最好在第一次申请专业版时把这些卡都关联上,否则以后想添加新的关联一卡通还得跑一趟柜台。
有了数字安全证书做后盾,专业版能提供的服务自然要多一些,主要增加的项目有转账汇款、直接网上支付购物、自助缴费、银证通、财务分析等。
笔者觉得最有用的功能是转账汇款(如图2所示),如果是同城招行互转,可以实时到账并且不收取任何手续费,用专业版来给亲戚、同事、朋友进行支付会相当方便。
至于网上支付、自助缴费等虽然在大众版也能完成,但有了专业版的证书保证,用起来自然要放心不少。
服务器托管租用、大带宽租用、机柜租用
QQ:
1286041975
上海快网网络信息技术有限公司(10年老牌IDC服务商)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CA