1.什么是数字证书

         数字证书在网络上类似于人在社会上持有的***等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络***”,用来在网络上证明自己的身份。

2.数字证书上面主要包括那些信息?

         数字证书上面主要包括以下信息:证书版本号、证书持有者信息、证书签发者(CA)信息、证书起止有效期、证书序列号、证书签发者的签名等。这些信息与身份 证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用,这与***上的公章类似。但CA中心对证书的数字签名是不可能被伪造的。

实验目的:CA服务的搭建

实验环境:

主机名:fanlj      IP地址:192.168.1.30   

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

1、修改配置文件,dir代表 CA存放的目录,certs代表保存签入数字证书的目录,crl_dir代表证书吊销列表存放的目录,database代表签入数字证书的信息默认是不存在需要创建, new_certs_dir代表用于存放新证书存放的位置,certificate代表根证书(公钥信息),serial代表序列号文件默认是不存在需要创建,crlnamber代表证书吊销列表的编号,private-key代表私钥信息。

wKioL1YnlV2D3vQBAACCPJp1Sic997.jpg

wKioL1Ynl6vx8do3AAEOOtZGxrw756.jpg

wKiom1Ynl4nBs2wFAAICHg4F5Zg114.jpg

wKioL1Ynl7zhIWq_AAI9njb4ZXw646.jpg

2、创建相应的文件和目录

wKiom1Ynmn2RwEb_AADzdeoMLDg715.jpg

3、生成CA的私钥文件用openssl命令生成 genrsa代表生成私钥 -des3代表对称加密 2048代表密钥的长度,并且修改权限只有管理员有权限。

wKiom1YnnG2j9PwOAAHwDBjXcYM977.jpg

4、根据私钥生成公钥:需要输入保护私钥的密码。提示的问题,国家、城市、省份、公司名这四项必须和openssl.cnf中设置的完全一致,否则会失败,-new生成一个新的文件 ,-x509代表根证书的格式,-key my_ca.key用私钥生成公钥。

wKioL1Ynoa-whBjYAAPs2rcHKpc718.jpg

5.查看根证书的信息x509代表证书的格式,-in my.ca.crt从哪个证书的信息,-noout  -text 代表以文本的格式在屏幕上输入。

wKiom1Ynok3yCr8pAAM1NdL6dBA598.jpg

实验目的:搭建安全的WEB服务器

实验环境:

web服务器:主机名:waiwang     IP地址:192.168.1.20   

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

CA服务器:主机名:fanlj     IP地址:192.168.1.30

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

客户端:主机名:fanxiaohui   IP地址:192.168.1.40

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

实验要求:

当客户端访问web页面时直接出现页面,不会出现有风险的提示信息。

一、WEB服务器生成密钥对

1、生成私钥

wKiom1Ynzq_jrd6XAAFnbfLu4ko658.jpg

2、根据私钥生成证书请求文件

wKioL1YpiqDi0dU7AASJQejZzlQ736.jpg

二、把CSR文件上传至CA

wKiom1Yn0bjCP8ksAAC4FTdl30k276.jpg

查看csr文件内容

wKioL1Yn0iqCUjX9AAGjkTsgce8006.jpg三、CA签发证书

1、签发证书

wKiom1Ypiyazp3SXAAO-G3xb-Ks294.jpg

wKioL1Ypi2SSscGWAAHHC4lUk7U034.jpg

查看签名的文件的大小

wKioL1YpnJLhEauCAAC5uDJsALE996.jpg

2、验证

wKioL1YpkSaSS5J-AASQfMFcalc323.jpg

wKiom1YpnMWznwDgAAHFHnGDkG8808.jpg

四、WEB服务器下载证书并且布署

1、下载证书

wKiom1YpnoPzOKibAADNgwzJhvU703.jpg

2、将证书拷贝到/etc/pki/tls/certs

wKioL1YpnxfiyQ0TAABnUljqFTk707.jpg

3、安装mod_ssl

wKiom1YpnxygcEsrAACY-LWqyHg481.jpg

4、编辑配置文件

# vim /etc/httpd/conf.d/ssl.conf

wKiom1Ypn9Cy1B63AAGkw7BDJ8s097.jpg

5、当访问http协议时,自动跳转到https

ssl.conf中加入:

wKiom1YpoFjyx5-1AAD5lgXWdGs979.jpg

6、重启web服务器

wKioL1YpoM_ibihMAAGWFQ9Lgb8919.jpg

五、客户端访问

https://www.tarena.com

提示证书不受信任,因为客户端没有信任CA

客户端将CA的根证书安装上,再次访问就不会再有提示。

wKiom1YpofOC2xbnAAI_WqErJq4298.jpg

wKioL1YposOwmH37AAFg32ouLmc471.jpg

wKiom1YpouCB2BdKAAJ9ZipWa30470.jpg

上面提示CA没有被信任,下载根证书。

wKiom1YppSvSUnN6AAHuKg3QKO4301.jpg

wKioL1YppYiBO0y6AAC6M5IABmA834.jpg

实验目的:搭建安全的mail服务器

实验环境:

客户端:主机名:waiwang     IP地址:192.168.1.20   

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

CA服务器:主机名:fanlj     IP地址:192.168.1.30

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

mail服务器:主机名:fanxiaohui   IP地址:192.168.1.40

系统环境:Red Hat Enterprise Linux Server release 6.5(Santiago)

实验要求:

当用户用抓包工具进行时,出现的都是乱码,无法破解邮件的信息。

一。搭建邮件服务器

1.  安装软件包postfix

wKiom1Yq6r_gbXtnAABv6lA7fpE034.jpg

2.修改主配置文件

wKiom1Yq7mqR68WmAAMcx83TQVg999.jpg

3.启动postfix服务

wKioL1Yq8CbxHsi9AAFFGiSnSFk624.jpg

4.安装dovecot软件包

wKiom1Yq8eGAHz3FAAHGb82dvG0630.jpg

5.修改主配置文件

wKioL1Yq8rfQBDfAAABdbYefzxY920.jpgwKiom1Yq8pHi9IaXAABoWlAWaV8308.jpg

6启动dovecot服务

wKioL1Yq8wfS8d1pAAFgAdl87Ug503.jpg

二。配置私钥和公钥

邮件服务器生成 私钥,根据私钥生成csr文件。

wKioL1Yq9fPAz-stAAFTIUYS7Cs768.jpg

wKioL1Yq9hKj7YdwAASAbkBW8hY807.jpg

查看csr的信息

wKiom1Yq9l-igVXQAAHAH98CcWE037.jpg

上传该文件到CA服务器上进行签署证书

wKiom1Yq_muh8TkeAAI6TCwz0NA788.jpg

wKiom1Yq_zCymx--AARDF6u41jQ873.jpg

查看crt的信息

wKiom1Yq_4uTCHU_AAL43kbZeAc581.jpg

验证crt的信息

wKiom1YrAFrCBxInAAIz57zJ4qk146.jpg

拷贝 crt文件到邮件服务器上

wKiom1YrARHgpJBSAAH8l3WJe5o779.jpg

三。配置安全的邮件服务器

修改postfix主配置文件

wKiom1YrA3WQ1RxiAAETlIvJgHk588.jpg

修改dovecot主配置文件

wKioL1YrBKixhSynAAB2L8FPQAA849.jpg

wKiom1YrBIKw-CQSAAGY7m9soKU162.jpg

重新启动服务

wKioL1YrBOzAuLB4AAEZyhS59Ok073.jpg