阶段一
一、实验目的
CA服务器为客户端提供CA证书服务
二、实验环境
1、在一台windows server 2008 r2 操作系统上安装DNS服务器并兼CA服务器,主机名为king1
King1配置为IP:192.168.1.250、NDS:192.168.1.250、网关:192.168.1.254
2、客户端为XP系统,配置为IP:192.168.1.1、NDS:192.168.1.250、网关:192.168.1.254
三、安装ADCS与架设根CA
1、选择“角色”,然后选择“添加角色”勾选“Active Directory证书服务”,然后点击下一步
2、勾选界面中的“证书颁发机构Web注册”,出现“添加角色向导”界面,点击“添加所需要的角色服务”
3、完成后点击下一步
注意要点:
(1)工作组环境只能选择独立CA,不能选择企业CA
(2)AD域环境下,企业CA和独立CA都能选择
(3)如果网络中没有根CA,一定要先安装根CA
创建CA根
4、私钥要创建新的,因为没有旧的
5、加密,选择默认的加密程序及算法
秘钥长度,越长加密越强,但效率越低
6、填写一个CA公用名称,此处填写的是robin-CA,域环境下需要填写可分辨名称后缀
7、根证书默认时长为5年
8、路径可以更改,此处默认
9、点击安装后选择下一把步
10、安装完成后显示的界面
四、根证书的申请以及客户端信任CA设置
1、在客户端浏览器上输入www.robi.com/certsrv或IP地址:192.168.1.250/certsrv来进行访问,然后选择页面中的“下载CA证书、证书链或CRL(证书吊销列表)”
2、在win7或R2中,会因为IE阻止此站点以不安全的方式使用ActiveX控件导致网页显示不正确,以至于不能直接选择安装此CA的证书链。因此需要下载证书或证书链。
我们这里点击“下载CA证书链”。
3、默认证书或证书链的名字为“certnew.p7b”,这里保存到桌面
4、保存效果如下图
5、右键单击安装证书
5、指定放入存储区,点击下一步
6、下一步完成后直到导入证书成功
7、在客户端Internet选项上点击--内容--证书,可以查看到已经安装到root-CA的证书
五、证书的管理
1、CA证书的备份与还原
(1)备份操作
设置一个强密码
备份完成
(2)还原操作
还原完成
2、管理证书模板
非域环境,显示不了,这里略
企业CA提供了许多其他模板,需要先开启,用户才可申请。——右键新建
3、自动或手动发放证书
点击CA服务器点击属性,找到策略模块点击属性
属性中第一项选择为手动指定发放,第二项为自动发放
4、吊销证书与CRL
(1)吊销证书
(2)CRL
(3)客户端如何得知哪些证书已被吊销
下载证书吊销列表即可,但CA要先发布CRL,发布的方式有两种
1、自动发布——默认每隔1周发布一次CRL
2、手动发布
4、客户端从CRL分发点下载 CRL:
(1)自动下载
勾选检查发行商的证书吊销和检查服务器证书吊销
(2)手动下载
利用浏览器连接到CA,然后选择“下载最新的基CRL”或“下载最新的增量CRL,”然后单击打开,保存或/安装,或通过UNC路径连接到共享文件夹,“%Systemroot\\Systemroot32\\Certsrv\\CertEnroll”(CA将发布的CRL存储到此共享文件夹,共享名CertEnroll),右键选择CRL或CRL增量文件安装。
5、导出与到导入用户的证书
(1)利用IE浏览器导入导出证书
(2)利用证书管理单元导入导出证书
导出成功后然后测试导出,电子邮件箱福利CA申请电子邮件保护证书时,申请到的证书无法导出私钥,必须通过单击高级证书来申请,才可以导出私钥
选择文件即可
6、续订证书
阶段二
1、实验目的:实现电子邮件保护证书
2、环境设置:在阶段一环境的基础上,新增一台邮件服务器为king2,实现robin.com和king.com不同域之间发送邮件加密与数字签名的实验
King2配置为IP:192.168.1.251、NDS:192.168.1.250、网关:192.168.1.254
环境设置说明:
在DNS服务器上新建两个不同的域robin.com和king.com,
192.168.1.250指向king1,192.168.1.251指向king2服务器
并创建mail主机记录和邮件交换记录MX
在king1和king2上安装邮件服务器软件
Robin.com域中存在一个dou用户,king.com域中存在一个king用户
3、实验步骤:
(一)客户端申请证书
1、只有在域成员计算机上才可以利用“证书申请向导”来向企业根CA申请证书,独立根CA的话请用浏览器来申请证书,独立根CA的话请用浏览器来申请证书。我们先让客户端信任根CA
点击下载CA证书、证书链或CRL
选择下载CA证书链
下载完成后将其安装到一下位置:
(二)将IE浏览器的本地Internet的安全级别降为低
(四)将CA网站加入本地interanet
(五)客户端申请证书邮件
选择申请证书
高级申请
创建并向此CA提交一个申请
(六)证书颁发
在证书服务器界面颁发证书给用户
客户端查看挂起的证书,点击并安装
King用户申请过程同上
可以查看到客户端申请到的邮件证书
(七)邮件证书数字签名测试
在客户端若发现邮件不能发送,服务器错误553,要进行设置服务器要求验证
点击选择项——工具——账户——邮件——属性
添加账户
Dou用户发送签名文件给king用户,并点击右侧的签名按钮
测试成功
(八)邮件证书加密测试
king用户发送加密文件给dou用户
因篇幅问题不能全部显示,请点此查看更多更全内容