实验环境:
LON-DC1 Windows2012R2 AD+CA
LON-CL1 Windows8.1 域客户端+Office2013
LON-CL2 Windows8.1 域客户端+Office2013
实验目的:
将证书用于数字签名,并验证数字签名是否可以保证数据的可靠性。
实验步骤:
一、搭建企业CA
使用域管理员账号登入LON-DC1,在LON-DC1上打开Powershell控制台,输入Add-WindowsFeature adcs-cert-authority,adcs-web-enrollment -IncludeManagementTools
命令执行完毕后,我们需要在服务器管理器中去配置AD证书服务,在服务器管理器的右上角的通知中,有一个***感叹号,单击感叹号后会出现"配置目标服务器上的Active Directory证书服务"
点击配置证书服务后,会出现一个新的窗口,如下图,我们使用默认选项,直接点击下一步
接下来会让你勾选需要配置的角色服务,事先没有安装的角色在这里是无法被勾选的,这里我们因为安装了证书颁发机构和web注册的角色,所以可以将这两个选项勾选起来进行下一步的配置
接下来需要我们指定CA的设置类型,因为我们是在域环境下,所以这里保持默认的企业CA
选择好设置类型后,我们需要设定CA类型,这里我们使用默认选项 根CA
后续所有的设置都保持默认值,点击下一步即可,最后我们可以看到整个的配置摘要,确认没有错误或异常之后,直接点击配置按钮,开始配置证书服务
成功配置后,可以看到如下的画面
二、客户端申请用户证书
用user1账号登陆LON-CL1,然后运行mmc命令打开控制台,在控制台中选择"文件"-"添加/删除管理单元"-"证书"-"添加"-"确定"
展开添加的证书管理单元,右键选中"个人"-"所有任务"-"申请新证书"
单击申请新证书后,出现的窗口中连续点击两次下一步,我们可以看到以下的画面
我们勾选"用户",然后点击"注册",成功注册后如下图所示,然后我们将此窗口和控制台都关闭掉
三、对word文档进行数字签名
在LON-CL1上新建一个Word文件,在word里面任意输入一些内容并保存
在Word的工具栏中选择"插入",然后选择"签名行",在下拉菜单中打开"Microsoft office签名行"
将建议的签名人,建议签名人职务,电子邮件地址填入对应的信息,然后点击"确认"
设定好签名之后,可以看到在插入的位置会多出一个签名图标,右键点击这个签名图标,选择"签署",将签名签署到文档中
在弹出的窗口中,可以看到X的右边有个空白栏位,可以添加你的个性图片或者直接输入你特定的内容,这里我们就用user1来做例子,填写好之后,我们点击"签名",随后弹出的确认窗口直接确定即可
签名成功后,文档是不可修改的,可以看到"插入"选项中所有针对文档内容编辑的按钮都变成灰色了
四、验证数字签名是否能够保证数据的可靠性
我们在LON-CL2上使用User2账号登录,假设User2依靠非法的手段获得了LON-CL1上设置了数字签名的word文档,并且想将文档中的内容修改,对于已经设置了数字签名的文档,有两种方式可以修改它的内容,一种是打开文档后会在上方的工具栏出现一个提示"仍然编辑",另一种是右键点击数字签名,选择"删除签名"
删除签名之后,我们编辑内容,在内容中加入MODIFY,然后右键点击文档末尾的数字签名,选择"签署",我们会看到以下提示,这是因为user2没有注册用户证书
那么我们按照前面的步骤为User2注册一个用户证书,然后再次点击签名执行"签署",可以看到签署成功,但是数字签名中的签署者变成了user2,因为它这次签名默认使用的是User2注册的证书,它无法让user2使用user1的证书,所以我们就可以知道这个信息已经被篡改过了,不是User1的原文件。
转载于:https://blog.51cto.com/thefallenheaven/1590789
2024
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
