4.1 實戰：在電子郵件中使用數字簽名和加密

實驗目的：

ü 在上安裝和配置獨立CA

ü 在上安裝和配置pop3和SMTP服務

ü 在上創建郵箱和

ü 在zhangPC上下載證書頒發機構證書并添加到受信任的根證書頒發機構

ü 在wangPC上下載證書頒發機構證書并添加到受信任的根證書頒發機構

ü 在zhangPC計算機上為郵箱申請電子郵件證書

ü 在上頒發數字證書

ü 查看電子郵件證書信息

ü 在zhangPC上配置Windows Mail使用申請的證書

ü Zhang向Wang發送簽名電子郵件

ü Wang向zhang發送加密電子郵件

ü 在zhangPC上查看加密的電子郵件

ü 在上吊銷zhang的電子郵件證書并發布證書吊銷列表（CRL）

ü 使用Windows Mail打開zhang發送的數字簽名的電子郵件，檢查數字證書的吊銷情況

實驗環境：

ü 安裝Windows Server 2008企業版，安裝獨立的證書頒發機構。

ü 安裝Windows Server 2003企業版，安裝POP3郵件服務和SMTP服務。

ü zhangPC安裝Vista企業版。

ü wangPC安裝Vista企業版。

4.1.1 在上安裝獨立的證書頒發機構

證書服務是包括在Windows Servers 2008服務器產品中的一種服務，但是默認情況下并不安裝它。可以在安裝Windows Servers 2008過程中或在安裝了Windows Servers 2008之后安裝證書服務。

注意：在安裝了證書服務之后不能重新命名計算機，也不能將計算機加入到某個域中或從某個域中刪除。如果要執行這類操作，必須從該計算機中刪除證書服務。

任務：

ü 在上安裝獨立的證書服務

ü 查看安裝證書服務過程中自動創建的證書申請網站

步驟：

1.在上，以管理員登錄。

2.點擊

，打開服務器管理器，點擊“添加角色”。

3.在選擇服務器角色對話框，選中“Active 證書服務”，點擊“下一步”。

4.在出現的Active 證書服務簡介，點擊“下一步”。

5.在選擇角色服務對話框，選中“證書頒發機構”和“證書頒發機構Web注冊”，在出現的選擇添加角色向導對話框，點擊“添加必須的角色服務”。

6.在選擇角色服務對話框，選中“聯機響應程序”，點擊“下一步”。

7.在指定安裝類型對話框，選擇“獨立”，點擊“下一步”。因為在工作組中，因此“企業”不可選。

8.在指定CA類型對話框，選擇“根”，點擊“下一步”。

9.在設置私鑰對話框，選擇“新建私鑰”，點擊“下一步”。

10.在為CA配置加密對話框，保持默認設置，點擊“下一步”。

11.在配置CA名稱對話框，保持默認的CA的公用名稱，點擊“下一步”。

12.在有效期對話框，保持默認的5年有效期，點擊“下一步”。

13.在配置證書數據庫對話框，保持證書數據庫默認位置和證書數據庫日志位置，點擊“下一步”。

14.在Web服務器（IIS）對話框，點擊“下一步”。

15.在選擇角色服務對話框，保持默認選擇，點擊“下一步”。

16.在確認安裝選擇對話框，點擊“安裝”。

17.在安裝結果對話框，點擊“關閉”。完成獨立CA的安裝

18.點擊“開始”à“程序”à“管理工具”à“ 信息服務(IIS)管理器”，打開Web站點管理工具。可以看到默認的web站點下有一個CertSrv虛擬站點，用戶訪問該虛擬站點申請證書和下載證書以及下載CA證書。

4.1.2 在上安裝和配置郵件服務

任務：

ü 在上安裝pop3郵件服務和SMTP郵件服務。

ü 配置pop3服務器創建域名和郵箱

ü 配置SMTP服務器允許將郵件轉發到*.com和*.net域

ü 在Pop3上創建域和創建郵箱和

步驟：

1.在上，以管理員身份登錄。

2.點擊“開始”à“設置”à“控制面板”，點擊“添加或刪除程序”。

3.在出現的添加或刪除程序對話框，點擊“添加/刪除Windows組件”。

4.在出現的Windows組件對話框，選中“電子郵件服務”即pop3服務，點擊“下一步”。

5.選中“應用程序服務器”，點擊“詳細信息”。

6.在出現的應用程序服務器對話框，選中“信息服務（IIS）”，點擊“詳細信息”，選中“SMTP Service”，點擊“確定”。

7.在“Windows組件”對話，點擊“下一步”。

8.在安裝過程中，出現提示對話框要求插入Windows安裝盤。

9.如圖，點擊“VM”à“ Devices”à“CD-ROM”à“Edit”。

10.在出現的CD-ROM對話框，選擇“Use ISO image”，點擊“Browse”，瀏覽到Windows Server 2003 sp2的ISO，點擊“OK”。

11.安裝完成后點擊“完成”。

12.點擊“開始”à“程序”à“程序”à“POP3 服務”，打開pop3服務管理工具，點擊“新域”。

13.在出現的添加域對話框，在域名輸入“”，點擊“確定”。

14.點中，點擊“添加郵箱”。

15.在出現的添加郵箱對話框，輸入郵箱名zhang，選中“為此郵箱創建相關的用戶”，輸入密碼，點擊“確定”。

16.在出現的成功添加了郵箱提示對話框，注意觀察用戶名和郵件服務器名，點擊“確定”。

17.再次點擊“添加郵箱”，在出現的添加郵箱對話框，輸入郵箱名wang，選中“為此郵箱創建相關的用戶”，輸入密碼，點擊“確定”。

18.在出現的成功添加了郵箱提示對話框，注意觀察用戶名和郵件服務器名，點擊“確定”。

19.點擊“開始”à“程序”à“管理工具”à“ 信息服務(IIS)管理器”，打開信息服務管理工具。

20.如圖，右擊“默認SMTP虛擬服務”下的域，點擊“新建”à“域”。

21.在出現的新建SMTP域向導，指定域類型選擇“遠程”，點擊“下一步”。

22.在域名對話框，如果只允許向域名中繼郵件，輸入“”，如果您打算讓你的郵件服務器能夠向上所有net域名中繼郵件輸入“*.net”。在這里輸入“*.net”，點擊“完成”。

23.右擊“*.net”，點擊“屬性”。

24.在*.net屬性對話框，選中“允許將傳入的郵件中繼到此域”，點擊“確定”。

25.依照上面的方法，可以創建“*.com”遠程域，然后配置*.com域，允許將傳入的郵件中繼到此域。

4.1.3 在zhangPC上下載并信任證書頒發機構證書

任務：

ü 調整IE瀏覽器可信站點安全級別

ü 將證書頒發機構的網站添加到受信任的站點

ü 下載-CA證書頒發機構的證書

ü 將-CA證書頒發機構的證書導入到受信任的證書頒發機構

步驟：

1.在zhangPC上，右擊IE瀏覽器圖標，點擊“屬性”。

2.在屬性對話框的安全標簽下，點中“可信站點”，將該區域的安全級別設置為“低”，點擊“站點”按鈕。

3.輸入，取消“對該區域中的所有站點要求服務器驗證”選擇，點擊“添加”。

4.在可信站點對話框，點擊“關閉”

5.打開IE瀏覽器，在地址欄輸入。

6.在打開的網頁中，點擊“下載CA證書、證書鏈或CRL”。

7.在出現的ActiveX控件允許交互提示對話框，點擊“是”，然后點擊“下載CA證書”。這里下載的是證書頒發機構的公鑰。

8.在出現的文件下載對話框，點擊“保存”按鈕。

9.在另存為對話框，點擊“保存”。留意證書保存的位置。

10.在下載完畢對話框，點擊“關閉”。

11.右擊IE圖標，點擊“屬性”，在屬性對話框內容標簽下，點擊“證書”。

12.在出現的證書對話框，點擊“受信任的根證書頒發機構”，點擊“導入”。

13.在出現的歡迎使用證書導入向導對話框，點擊“下一步”。

14.在出現的要導入的文件對話框，點擊“瀏覽”，找到下載的頒發機構的證書，點擊“下一步”。

15.在出現的證書存儲對話框，選擇“將所有的證書放入下列存儲”點擊“瀏覽”，在出現的對話框選擇“受信任的根證書頒發機構”，點擊“下一步”。

16.在正在完成證書導入向導對話框，點擊“完成”。

17.在出現的安全性警告對話框，點擊“是”。

18.在出現的導入成功對話框，點擊“確定”。

19.可以看到證書頒發機構-CA證書已經被添加到受信任的根證書頒發機構，即該用戶信任該證書頒發機構。以后該從該證書頒發機構申請證書就不會出現安全警告。

4.1.4 在zhangPC上申請電子郵件證書

任務：

ü 從上申請電子郵件證書

步驟：

1.在zhangPC計算機上，打開IE瀏覽器，輸入，點擊“申請證書”。

2.在出現的申請一個證書頁面中，點擊“高級證書申請”。

3.在出現的高級證書申請頁面，點擊“創建并向此CA提交一個申請”。

4.在出現的ActiveX控件允許這種交互對話框，點擊“是”。

5.輸入個人信息，注意，這里輸入的電子郵件信息一定和用戶的使用的電子郵件地址一致。需要的證書類型選擇“電子郵件保護證書”。

6.選擇“標記密鑰為可導出”和“啟用強私鑰保護”，輸入好記的名稱，點擊“提交”。

7.在出現的Web訪問確認對話框，點擊“是”。

8.在出現的正在創建新的RSA交換密鑰對話框，點擊“設置安全級別”按鈕。

9.在出現的正在創建新的RSA交換密鑰對話框，選擇“高”，點擊“下一步”。

10.在出現的創建一個密鑰來保護此項，輸入密碼，點擊“完成”。

11.在正在創建新的RSA交換密鑰對話框，點擊“確定”。

12.然后出現證書正在掛起頁面。等待證書管理員頒發證書。

4.1.5 在上頒發證書

任務：

ü 在證書頒發機構頒發證書

步驟：

1.在上，以管理員登錄。

2.點擊“開始”à“程序”à“管理工具”à“ ”，打開證書頒發機構管理工具。

3.點中“掛起的申請”，右擊“證書”à“所有任務”à“頒發”。

4.點中“頒發的證書”，可以看到證書頒發機構頒發的證書。

4.1.6 在zhangPC上安裝和查看證書

任務：

ü 查看掛起的證書

ü 安裝個人證書

ü 查看證書的有效期、頒發者、使用者和證書使用者的個人信息

步驟：

1.在zhangPC上，點擊“主頁”。

2.返回到證書頒發機構首頁，點擊“查看掛起的證書申請狀態”。

3.在查看掛起的證書申請的狀態頁面上，點擊“電子郵件保護證書”。

4.在出現的ActiveX控件允許交互對話框，點擊“是”。

5.在證書已頒發頁面，點擊“安裝此證書”。

6.在出現的Web訪問確認，點擊“是”。

7.出現證書已安裝頁面。

8.右擊桌面上IE圖標，點擊“屬性”。打開屬性，在內容標簽下，點擊“證書”，在出現的證書對話框的個人標簽下，可以看到頒發給zhang的電子郵件證書。點中zhang的證書，點擊“查看”。

9.在證書對話框的常規標簽下，可以看到證書的目的、頒發給和頒發者以及有效日期。

10.在詳細信息標簽下，點中“使用者”可以看到使用者信息。

11.在證書路徑標簽下，可以看到該證書是由那個頒發機構的頒發的。

4.1.7 在zhangPC上配置Windows Mail發送數字簽名的信

任務：

ü 在Vista上配置Windows Mail電子郵件帳戶。

ü 配置Windows Mail電子郵件帳戶使用證書數字證書。

ü 張三給王五發送數字簽名的電子郵件。

步驟：

1.在zhangPC計算機上，點擊“開始”à“程序”à“Windows Mail”。

2.打開配置向導，輸入顯示名稱“張三”，點擊“下一步”。

3.在出現的電子郵件地址對話框，輸入電子郵件地址，點擊“下一步”。

4.在出現的設置電子郵件服務器對話框，選擇“pop3”，輸入pop3服務器的IP地址以及SMTP服務器的地址，點擊“下一步”。

5.在郵件登錄對話框，輸入電子郵件用戶名和密碼，點擊“下一步”。

6.在祝賀您對話框，點擊“完成”。

7.點擊Windows Mail的“工具”à“帳戶”。

8.在出現的帳戶對話框，點中“10.7.10.100（默認）”，點擊“屬性”。

9.在出現的10.7.10.100屬性對話框的安全標簽下，在簽署證書下，點擊“選擇”。

10.在出現的選擇默認帳戶數字ID對話框，選擇“zhang”數字證書，點擊“”確定。

11.同樣在加密首選項下，點擊“選擇”。瀏覽到zhang的數字證書，點擊“確定”。

12.點擊“創建郵件”。

13.如圖，收件人輸入，寫一封郵件，點擊

，給郵件簽名，點擊

，發送電子郵件。

14.因為數字簽名需要用數字證書的私鑰，出現私鑰保護密碼，點擊“確定”。

4.1.8 在wangPC上接收簽名的信

任務：

ü 配置添加Windows Mail帳戶。

ü 接收簽名的電子郵件。

ü 查看數字簽名的安全警告。

ü 導出證書頒發機構證書。

ü 使用MMC將證書頒發機構的證書添加到受信任的根證書頒發機構

ü 再次查看數字簽名證書，沒有安全警告

步驟：

1.在wangPC上，點擊“開始”à“程序”à“Windows Mail”。

2.點擊“工具”à“帳戶”。

3.在出現的帳戶對話框，點擊“添加”。

4.在出現的選擇帳戶類型對話框，選擇“電子郵件帳戶”，點擊“下一步”。

5.在出現的您的姓名對話框，輸入顯示名稱“王五”，點擊“下一步”。

6.在出現的電子郵件地址對話框，輸入電子郵件地址，點擊“下一步”。

7.在出現的設置電子郵件服務器，選擇pop3，輸入pop3服務器的IP地址，輸入SMTP服務器的IP地址。點擊“下一步”。

8.在郵件登錄，輸入電子郵件用戶名和密碼，點擊“下一步”。

9.在出現的祝賀您對話框，點擊“完成”。

10.可以看到收到了張三發送的簽名的電子郵件，注意觀察該郵件的圖標。

11.雙擊該電子郵件，在出現的數字簽名提示對話框點擊“繼續”。

12.出現安全警告，因為王五還沒信任-CA證書頒發機構。

13.點擊“查看數字標識”按鈕。

14.在出現的簽名數字標識屬性對話框下的證書路徑標簽，點中“-CA”，點擊“查看證書”。

15.在出現的簽名數字標識屬性，點擊“復制到文件”。

16.在出現的歡迎使用證書導出向導對話框，點擊“下一步”。

17.在出現的導出文件格式對話框，保持默認選擇，點擊“下一步”。

18.在出現的導出的文件對話框，點擊“瀏覽”，輸入文件名，點擊“下一步”。

19.在出現的正在完成證書導出向導對話框，點擊“完成”。出現導出成功對話框，點擊“確定”。

20.點擊“開始”à“運行”，輸入MMC，點擊“確定”。

21.在出現的用戶控制對話框，點擊“繼續”。

22.打開MMC管理控制臺，點擊“文件”à“添加/刪除管理單元”。

23.在出現的添加或刪除管理單元對話框，選中“證書”，點擊“添加”。

24.在出現的證書管理單元，選擇“我的用戶帳戶”，點擊“完成”。

25.在添加或刪除管理單元對話框，點擊“確定”。

26.如圖，右擊“受信任的根證書頒發機構”下的“證書”，點擊“所有任務”à“導入”。

27.在出現的歡迎使用證書導入向導對話框，點擊“下一步”。

28.在出現的要導入的文件對話框，點擊“瀏覽”，找到上面導出的證書頒發機構-CA的證書，點擊“下一步”。

29.在出現的證書存儲對話框，選擇“將所有的證書放入下列存儲”，點擊“瀏覽”，在出現的對話框，選擇“受信任的根證書頒發機構”，點擊“確定”。

30.在出現的正在完成證書導入向導對話框，點擊“完成”。

31.在出現的安全性警告對話框，點擊“是”。

32.出現導入成功提示框，點擊“確定”。

33.可以看到證書頒發機構-CA的證書已經放到了受信任的根證書頒發機構。

34.右擊桌面的IE圖標，點擊“屬性”，出現的屬性對話框，在內容標簽下，點擊“證書”。

35.可以看到已經將證書頒發機構-CA已經添加到受信任的根證書頒發機構。

36.再次打開Windows Mail，打開張三發送過來的簽名的電子郵件，點擊“繼續”。

37.可以看到數字簽名而且已經檢查。

4.1.9 在wangPC上發送加密的郵件

任務：

ü 查看Windows Mail自動創建的聯系人以及關聯的數字ID

ü 查看其他人的數字證書

ü 王五給張三發送加密的電子郵件

步驟：

1.打開Windows Mail，點擊

。

2.打開聯系管理工具，可以看到Windows Mail自動創建的聯系人“張三”，雙擊該聯系人。

3.在張三屬性對話框的標識標簽下可以看到張三的數字證書，這里只是公鑰部分。

4.右擊桌面上的IE圖標，點擊“屬性”，在屬性對話框的內容標簽下，點擊“證書”。

5.在證書對話框的其他人標簽下，可以看到張三的數字證書。

6.點擊Windows Mail的

。在出現的新郵件對話框，點擊“收件人”。

7.在出現的選擇收件人對話框，選中張三，點擊“收件人”，點擊“確定”。

8.點擊

表明要加密該郵件。

9.點擊“發送”，在出現的安全警告對話框，點擊“是”。該郵件會自動使用張三的數字證書加密，發送到張三郵箱。

4.1.10 在zhangPC接收加密的郵件

任務：

ü 張三接收并解密王五發送過來加密的郵件

ü 導出張三的電子郵件證書（包括私鑰）

ü 刪除張三的電子郵件證書

ü 驗證張三沒有數字證書解密郵件失敗

步驟：

1.在zhangPC上，打開Windows Mail，點擊

。

2.在收件箱，可以看到收到的加密郵件，圖標有把鎖。點擊“繼續”。

3.可以看到能夠解密郵件，看到郵件內容。

4.右擊桌面上的IE圖標，點擊“屬性”。在屬性對話框的內容標簽下，點擊“證書”。

5.出現的證書對話框個人標簽下，點中zhang的數字證書，點擊“導出”。

6.在出現的歡迎使用證書導出向導對話框，點擊“下一步”。

7.在導出私鑰對話框，選擇“是，導出私鑰”，點擊“下一步”。如果選擇“不，不要導出私鑰”，則只導出數字證書的公鑰部分。

8.在導出文件格式對話框，選擇“個人信息交換”，選中“如果可能，則數據包括證書路徑中所有證書”，選中“如果導出成功，刪除密鑰”，選中“導出所有擴展屬性”，點擊“下一步”。

9.在密碼對話框，輸入密碼，點擊“下一步”。該密碼在導入證書時需要提供。

10.在要導出的文件名對話框，點擊“瀏覽”，提供文件名，點擊“下一步”。

11.在正在完成證書導出向導對話框，點擊“完成”。

12.在正在導出私人交換密鑰對話框，輸入私鑰保護密碼，點擊“確定”，該密碼在申請證書時設置。

13.在出現的導出成功對話框，點擊“確定”。現在已經導出zhang的數字證書（包括私鑰）。

14.在證書對話框，點中zhang的數字證書，點擊“刪除”，在出現的警告對話框，點擊“是”。

15.可以看到當前用戶已經沒有了zhang數字證書。同時也沒有了數字證書包括的私鑰。

16.再次打開Windows Mail，點擊發送過來的加密的電子郵件，提示“對郵件解密時出錯”。現已證明沒有私鑰不能解密加密的郵件。

4.1.11 在證書頒發機構吊銷張三的數字證書

任務：

ü 如果張三證書私鑰泄露，在證書頒發機構吊銷張三的數字證書

ü 并發布證書吊銷列表（CRL）

步驟：

1.在上，點擊“開始”à“程序”à“管理工具”à“ ”，打開證書頒發機構管理工具。

2.點中頒發的證書，右擊zhang的數字證書，點擊“所有任務”à“吊銷證書”。

3.在出現吊銷證書對話框，選擇理由碼“密鑰泄露”，點擊“是”。

4.點中“吊銷的證書”，可以看到剛才吊銷的證書。

5.右擊“吊銷的證書”，點擊“所有任務”à“發布”。

6.在出現的發布CRL對話框，點擊“確定”。

4.1.12 在wangPC上驗證張三證書有效性

任務：

ü 確認Windows Mail默認是聯機時自動檢查吊銷的證書

ü 查看張三的數字證書中證書吊銷列表（CRL）的URL地址

ü 更改系統時間，這樣Windows Mail使用在線證書狀態協議檢查證書有效性

ü 再次打開張三發送的數字簽名的電子郵件驗證簽名的有效性

步驟：

1.在wangPC計算機上，打開Windows Mail，點擊“工具”à“選項”。

2.在出現的選項對話框，點擊“高級”。

3.在高級安全設置對話框，可以看到已經選中了“將發件人的證書添加到我的Windows聯系人中”，收到數字簽名的郵件，會自動創建Windows聯系人，且將發件人的證書添加到該聯系人。在撤銷檢查，默認已經選擇了“只在聯機時”，Windows Mail會自動訪問證書頒發機構網站檢查證書吊銷列表。

4.右擊桌面IE圖標，點擊“屬性”。在打開的屬性對話框的內容標簽下，點擊“證書”。

5.在證書對話框其他人標簽下，可以看到聯系人的數字證書（公鑰部分），點擊“查看”。

6.在出現的證書對話框詳細信息標簽下，點中“CRL發布點”，可以看到證書吊銷列表的URL。Widnows Mail通過檢查該URL下載證書吊銷列表。

7.點擊左下角的時間，點擊“更改日期和時間設置”。更改一下系統時間，這樣再次打開Windows Mail就會從證書頒發機構CRL檢查證書吊銷情況。

8.在出現的日期和時間對話框，點擊“更改日期和時間”按鈕。

9.在出現的用戶控制對話框，點擊“繼續”。

10.在日期和時間設置對話框，將日期有1月29日更改為2月12日，點擊“確定”。

11.再次打開Windows Mail，點擊張三發送過來的數字簽名的電子郵件，出現安全警告。

12.可以看到安全提示是“這個數字簽名已經吊銷”，點擊“打開郵件”。

13.可以查看電子郵件內容了，可見簽名的目的是確保郵件未被更改和確定發件人身份，數字簽名并不加密內容。可以看到圖標

，說明證書有問題。