Windows Server 2003 CA&HTTPS&Mail
本次實驗的目的:讓大家輕鬆掌握CA(證書)和郵件服務的相關服務器配置知識,並且介紹證書在網站與郵件系統中的綜合應用,如下圖所示:
1.根據實驗拓撲圖創建實驗環境:
2.修改虛擬機參數設置:
3.配置各虛擬機系統相關參數(如修改計算機名,IP地址,防火牆等):
4.測試各虛擬機的網絡配置及連通情況(網絡實驗應當保證網絡是連通的),結果正常:
5.在CA-Server虛擬機中安裝活動目錄並在安裝活動目錄時將DNS服務也安裝上,安裝活動目錄的目的在於後面讓大家瞭解安裝CA(證書)服務器時可以更全的選項:
6.安裝證書服務,在安裝證書服務時,系統會自動安裝IIS,這點大家瞭解,看圖操作:
在安裝證書服務過程中由於我們前面安裝了AD(活動目錄),所以在CA類型的選擇中可以選擇“企業根CA”和“企業從屬CA”,如果沒有安裝活動目錄這兩項是不能選擇的。
我爲了簡單起見還是選擇安裝一個簡單的“獨立根CA”,它可以不需要活動目錄,因此適合大家掌握:
7.證書服務安裝完成後,下面開始介紹證書在網站中的應用,舉一個HTTPS的案例:
(1)創建一個網站:
因爲CA-Server虛擬機中已經安裝IIS服務,所以我就利用已經安裝的IIS服務的默認網站來進行簡單的修改,將自己的網站放上去,大家應當瞭解網站的創建,看圖操作:
(2)客戶端測試網站:
目前我是使用http進行訪問的,整個通信過程是沒有加密的,大家如果使用一些抓包工具應當可以查看我的網站的通信信息,這是非常不安全的,特別是有一些重要敏感數據傳輸時,大家應當瞭解,所以後面我要使用證書來爲這個網站加密:
(3)證書管理界面相關知識大家看下,因爲目前還沒有進行相應的證書操作管理,所以相應界面都是空的,瞭解:
(4)下面爲我的網站向證書服務器申請證書做準備,先創建一個證書,看圖操作:
(5)查看剛纔生成的證書請求文件,將其中的全部內容複製下來,後面申請時需要,大家瞭解:
(6)下面開始向證書服務器申請證書,看圖操作:
(7)在證書服務器的證書頒發機構中進行相應的管理,並進行證書的頒發操作,大家也看圖操作:
(8)下面去下載剛纔證書服務器頒發的證書,大家也看圖操作:
(9)下載證書後,返回網站證書管理處進行證書的安裝,看圖操作:
(10)下面設置服務器使用安全加密通信,即客戶端要使用https進行網站的訪問,看圖操作:
目前我這裏是不要求客戶端是否有證書的,大家繼續看下去會發現其中的差別的,瞭解:
(11)客戶機測試,結果是不能使用http對網站進行訪問,而只能使用https對網站進行訪問,並且這種訪問是加密了的,大家也瞭解:
因爲前面服務器上設置的是“忽略客戶端證書”的,所以在客戶端進行訪問時,不管客戶機是否擁有證書,服務器都會要求它接受它給的一個新證書的,保證通信安全,這種情況也常見:
(12)下面在服務器上設置“要求客戶端證書”,大家後面再來看看其中差別,看圖操作:
(13)客戶端再次測試,結果顯示客戶端已經不能訪問網站了,因爲客戶機沒有服務器需要的相應客戶端證書,所以訪問失敗,看圖操作:
(14)下面還是向服務申請一個證書再來測試,結果發現目前連證書申請服務的網站也不能訪問,原因是這個網站與前面我的那個網站其實都是在一個默認網站下的,其中這個證書服務的網站,它是使用了虛擬目錄的技術來的,大家也瞭解,所以後面我還得先在服務器上設置“忽略客戶端證書”,先讓客戶機申請好證書後再來進行相應的測試,大家看圖操作:
(15)客戶機向證書服務器申請證書,大家看圖,都是一步一步操作來的:
(16)客戶端證書申請後,下面去證書服務器上的證書頒發機構中進行證書的頒發操作,看圖操作:
(17)返回客戶端處理剛纔頒發的證書,進行證書的安裝,看圖操作:
(18)繼續前面服務器“要求客戶端證書”設置的實驗,看圖操作:
(19)客戶端再次測試,結果顯示使用https方式已經能正常訪問網站了:
(20)下面我再使用另一臺客戶機進行測試,結果大家看圖應當都明白了:
(21)下面我再把前面安裝活動目錄時安裝的DNS服務也給用上,給網站做個域名解析,大家會覺得效果更真實點,也是瞭解就行,看圖操作:
8.下面介紹Windows Server 2003自帶的郵件服務(SMTP/POP3)和證書在電子郵件系統中的簽名和加密的知識:
(1)安裝郵件服務,其中SMTP服務用於郵件的傳輸,POP3服務用於郵件的接收,看圖操作:
關於SMTP和POP3服務大家也可以分別安裝在不同的服務器也行,當然我這裏是簡單起見,還有就是對於Windows Server 2003自帶的這個郵件服務(SMTP/POP3)功能也不是很強大,一般只適用於小型企業的簡單應用,所以就安裝同一臺服務器上,大家瞭解:
(2)服務安裝完成,下面簡單看下SMTP服務的信息,一般不作修改,保持默認後面就可以使用了,因此大家也是瞭解:
(3)DNS服務配置郵件服務的解析記錄,當然大家也可以不做配置,直接使用IP地址,但這會有點變扭,有DNS解析我們當然應當用上,大家明白:
DNS服務配置,在前面已經創建的itly.com區域下創建一條郵件交換記錄(MX記錄)和對應MX記錄的A記錄,這是必須的,創建MX記錄是告知DNS區域中有那些是郵件服務器,而對應的A記錄則是告知DNS區域中相應郵件服務器對應的IP地址解析,這點理解,看圖操作:
(4)POP3服務配置,主要就是配置一個域,然後在域中創建相應的郵箱賬號,後面就可以使用這些郵箱賬號進行郵件的收發,大家也看圖操作:
創建一個域:
(5)創建郵箱賬戶:
如果POP3服務指定使用本地Windows賬戶身份驗證或Active Directory集成的身份驗證,則創建的用戶郵箱必須與電子郵件服務器本地系統用戶賬戶或Active Directory域用戶賬戶一一對應且名稱相同。
如果與用戶郵箱同名的用戶賬戶不存在,則在創建用戶郵箱時必須創建同名的用戶賬戶,因此需要選中“爲此郵箱創建相關聯的用戶” 選項(此選項默認被選中);如果與用戶郵箱同名的用戶賬戶已經存在,則在創建用戶時無需創建同名的用戶賬戶,因此需要清除“爲此郵箱創建相關聯的用戶” 選項。
在實際應用中,多采用在創建用戶郵箱的同時創建同名的用戶賬戶:
(6)郵件服務器配置就這樣簡單的配置完成,下面我們使用WindowsXP系統自帶的一個OE(Outlook Express)郵件客戶端軟件進行測試,當然大家也可以使用其他軟件測試,這點了解:
①在Client-XP-1虛擬機中使用OE配置zhang3賬號,爲後面的測試做準備,看圖操作:
②在Client-XP-2虛擬機中使用OE配置lynet賬號,爲後面的測試做準備,看圖操作:
③使用lynet賬戶給zhang3賬戶發送一封郵件進行測試,測試結果是發送成功的,所以SMTP郵件傳輸服務是可用的,大家瞭解:
④下面在另一臺Client-XP-1虛擬機中測試zhang3賬戶接收剛纔那封郵件,結果是接收成功的,所以POP3郵件接收服務也是可用的,這點大家也瞭解:
⑤下面再測試下zhang3賬戶給lynet賬戶的發一封郵件,測試結果也是正常,我不多說了,基本上一個簡單的郵件服務器(SMTP/POP3)就算是配置完成,小環境使用是完全沒什麼問題的,這個郵件服務器的其他配置大家就因人而異去深入學習了,瞭解:
(7)下面介紹證書在電子郵件系統中的簽名和加密的知識:
電子郵件簽名保證郵件是不可抵賴的,電子郵件加密保證郵件是安全的,簡單瞭解:
①證書服務器站點屬性配置,設置允許客戶端向服務器申請證書,看圖操作:
②在Client-XP-1虛擬機中向證書服務器爲zhang3這個郵箱賬戶申請一個電子郵件保護證書,大家看圖操作:
③在Client-XP-2虛擬機中向證書服務器爲lynet這個郵箱賬戶申請一個電子郵件保護證書,大家也看圖操作:
④去證書服務器上進行剛纔申請的證書的頒發操作,看圖操作:
⑤在Client-XP-1虛擬中安裝剛纔頒發的電子郵件保護證書,看圖操作:
⑥在Client-XP-2虛擬中安裝剛纔頒發的電子郵件保護證書,看圖操作:
⑦在Client-XP-1虛擬機中簡單查看一下剛纔安裝的電子郵件保護證書,大家瞭解:
⑧下面爲zhang3這個電子郵件賬戶選擇簽名和加密的證書(就是剛纔安裝的那個電子郵件保護證書),看圖操作:
⑨下面爲lynet這個電子郵件賬戶選擇簽名和加密的證書(也是剛纔安裝的那個電子郵件保護證書),看圖操作:
⑩下面簡單的測試一下電子郵件的簽名和加密,大家也看圖操作了:
(8)下面給大家補充點加密的用處,大家看了就更明白了:
(1)我們在 Client-XP-2虛擬機中找到OE軟件收件箱的位置,大家看圖操作:
(2)將找到的收件箱複製到另一臺虛擬機中,這裏我將其複製到CA-Server虛擬機中,看圖操作:
(3)利用前面的方法,我們也找到CA-Server虛擬機OE軟件收件箱的位置,並用剛纔複製的收件箱替換其原來的收件箱,看圖操作:
(4)替換完成後,我們打開OE軟件,發現其收件箱的內容與Client-XP-2虛擬機中OE軟件的收件箱內容基本一樣,但是有一點不一樣,就是加密的郵件在這臺虛擬機的OE軟件中看不到內容,這是郵件加了密的緣故,只有擁有相應密鑰的才能查看內容,這點大家瞭解了:
實驗到此爲止了,其中有一臺虛擬機本來是計劃介紹其他的一些郵件服務器軟件的,但在做這個教程時,不知不覺就發現內容已經太多了,所以我就決定先不介紹了,以上介紹的內容希望大家多實踐,並且多觀察,多思考,這都是半年前都已經截好了的圖的,大家體諒: