网络学习（四十二）Windows Server 2003 CA&HTTPS&Mail

     Windows Server 2003 CA&HTTPS&Mail
     本次实验的目的：让大家轻松掌握CA（证书）和邮件服务的相关服务器配置知识，并且介绍证书在网站与邮件系统中的综合应用，如下图所示：




     1.根据实验拓扑图创建实验环境：


























     2.修改虚拟机参数设置：








     3．配置各虚拟机系统相关参数（如修改计算机名，IP地址，防火墙等）：








     4．测试各虚拟机的网络配置及连通情况（网络实验应当保证网络是连通的），结果正常：
















     5.在CA-Server虚拟机中安装活动目录并在安装活动目录时将DNS服务也安装上，安装活动目录的目的在于后面让大家了解安装CA（证书）服务器时可以更全的选项：


































     6.安装证书服务，在安装证书服务时，系统会自动安装IIS，这点大家了解，看图操作：
     在安装证书服务过程中由于我们前面安装了AD（活动目录），所以在CA类型的选择中可以选择“企业根CA”和“企业从属CA”，如果没有安装活动目录这两项是不能选择的。
     我为了简单起见还是选择安装一个简单的“独立根CA”，它可以不需要活动目录，因此适合大家掌握：


































     7.证书服务安装完成后，下面开始介绍证书在网站中的应用，举一个HTTPS的案例：
     （1）创建一个网站：
     因为CA-Server虚拟机中已经安装IIS服务，所以我就利用已经安装的IIS服务的默认网站来进行简单的修改，将自己的网站放上去，大家应当了解网站的创建，看图操作：




















     （2）客户端测试网站：
     目前我是使用http进行访问的，整个通信过程是没有加密的，大家如果使用一些抓包工具应当可以查看我的网站的通信信息，这是非常不安全的，特别是有一些重要敏感数据传输时，大家应当了解，所以后面我要使用证书来为这个网站加密：


     （3）证书管理界面相关知识大家看下，因为目前还没有进行相应的证书操作管理，所以相应界面都是空的，了解：












     （4）下面为我的网站向证书服务器申请证书做准备，先创建一个证书，看图操作：


























     （5）查看刚才生成的证书请求文件，将其中的全部内容复制下来，后面申请时需要，大家了解：


     （6）下面开始向证书服务器申请证书，看图操作：
















     （7）在证书服务器的证书颁发机构中进行相应的管理，并进行证书的颁发操作，大家也看图操作：








     （8）下面去下载刚才证书服务器颁发的证书，大家也看图操作：














     （9）下载证书后，返回网站证书管理处进行证书的安装，看图操作：
















     （10）下面设置服务器使用安全加密通信，即客户端要使用https进行网站的访问，看图操作：
     目前我这里是不要求客户端是否有证书的，大家继续看下去会发现其中的差别的，了解：






     （11）客户机测试，结果是不能使用http对网站进行访问，而只能使用https对网站进行访问，并且这种访问是加密了的，大家也了解：
      因为前面服务器上设置的是“忽略客户端证书”的，所以在客户端进行访问时，不管客户机是否拥有证书，服务器都会要求它接受它给的一个新证书的，保证通信安全，这种情况也常见：








     （12）下面在服务器上设置“要求客户端证书”，大家后面再来看看其中差别，看图操作：






     （13）客户端再次测试，结果显示客户端已经不能访问网站了，因为客户机没有服务器需要的相应客户端证书，所以访问失败，看图操作：






     （14）下面还是向服务申请一个证书再来测试，结果发现目前连证书申请服务的网站也不能访问，原因是这个网站与前面我的那个网站其实都是在一个默认网站下的，其中这个证书服务的网站，它是使用了虚拟目录的技术来的，大家也了解，所以后面我还得先在服务器上设置“忽略客户端证书”，先让客户机申请好证书后再来进行相应的测试，大家看图操作：




     （15）客户机向证书服务器申请证书，大家看图，都是一步一步操作来的：












     （16）客户端证书申请后，下面去证书服务器上的证书颁发机构中进行证书的颁发操作，看图操作：




     （17）返回客户端处理刚才颁发的证书，进行证书的安装，看图操作：














     （18）继续前面服务器“要求客户端证书”设置的实验，看图操作：




     （19）客户端再次测试，结果显示使用https方式已经能正常访问网站了：




     （20）下面我再使用另一台客户机进行测试，结果大家看图应当都明白了：










     （21）下面我再把前面安装活动目录时安装的DNS服务也给用上，给网站做个域名解析，大家会觉得效果更真实点，也是了解就行，看图操作：














     8.下面介绍Windows Server 2003自带的邮件服务（SMTP/POP3）和证书在电子邮件系统中的签名和加密的知识：
     （1）安装邮件服务，其中SMTP服务用于邮件的传输，POP3服务用于邮件的接收，看图操作：
     关于SMTP和POP3服务大家也可以分别安装在不同的服务器也行，当然我这里是简单起见，还有就是对于Windows Server 2003自带的这个邮件服务（SMTP/POP3）功能也不是很强大，一般只适用于小型企业的简单应用，所以就安装同一台服务器上，大家了解：














     （2）服务安装完成，下面简单看下SMTP服务的信息，一般不作修改，保持默认后面就可以使用了，因此大家也是了解：




     （3）DNS服务配置邮件服务的解析记录，当然大家也可以不做配置，直接使用IP地址，但这会有点变扭，有DNS解析我们当然应当用上，大家明白：
     DNS服务配置，在前面已经创建的itly.com区域下创建一条邮件交换记录（MX记录）和对应MX记录的A记录，这是必须的，创建MX记录是告知DNS区域中有那些是邮件服务器，而对应的A记录则是告知DNS区域中相应邮件服务器对应的IP地址解析，这点理解，看图操作：
















     （4）POP3服务配置，主要就是配置一个域，然后在域中创建相应的邮箱账号，后面就可以使用这些邮箱账号进行邮件的收发，大家也看图操作：
     创建一个域：










     （5）创建邮箱账户：
     如果POP3服务指定使用本地Windows账户身份验证或Active Directory集成的身份验证，则创建的用户邮箱必须与电子邮件服务器本地系统用户账户或Active Directory域用户账户一一对应且名称相同。
     如果与用户邮箱同名的用户账户不存在，则在创建用户邮箱时必须创建同名的用户账户，因此需要选中“为此邮箱创建相关联的用户” 选项（此选项默认被选中）；如果与用户邮箱同名的用户账户已经存在，则在创建用户时无需创建同名的用户账户，因此需要清除“为此邮箱创建相关联的用户” 选项。
     在实际应用中，多采用在创建用户邮箱的同时创建同名的用户账户：












     （6）邮件服务器配置就这样简单的配置完成，下面我们使用WindowsXP系统自带的一个OE（Outlook Express）邮件客户端软件进行测试，当然大家也可以使用其他软件测试，这点了解：
     ①在Client-XP-1虚拟机中使用OE配置zhang3账号，为后面的测试做准备，看图操作：












     ②在Client-XP-2虚拟机中使用OE配置lynet账号，为后面的测试做准备，看图操作：












     ③使用lynet账户给zhang3账户发送一封邮件进行测试，测试结果是发送成功的，所以SMTP邮件传输服务是可用的，大家了解：






     ④下面在另一台Client-XP-1虚拟机中测试zhang3账户接收刚才那封邮件，结果是接收成功的，所以POP3邮件接收服务也是可用的，这点大家也了解：






     ⑤下面再测试下zhang3账户给lynet账户的发一封邮件，测试结果也是正常，我不多说了，基本上一个简单的邮件服务器（SMTP/POP3）就算是配置完成，小环境使用是完全没什么问题的，这个邮件服务器的其他配置大家就因人而异去深入学习了，了解：












     （7）下面介绍证书在电子邮件系统中的签名和加密的知识：
     电子邮件签名保证邮件是不可抵赖的，电子邮件加密保证邮件是安全的，简单了解：
     ①证书服务器站点属性配置，设置允许客户端向服务器申请证书，看图操作：


     ②在Client-XP-1虚拟机中向证书服务器为zhang3这个邮箱账户申请一个电子邮件保护证书，大家看图操作：










     ③在Client-XP-2虚拟机中向证书服务器为lynet这个邮箱账户申请一个电子邮件保护证书，大家也看图操作：












     ④去证书服务器上进行刚才申请的证书的颁发操作，看图操作：




     ⑤在Client-XP-1虚拟中安装刚才颁发的电子邮件保护证书，看图操作：










     ⑥在Client-XP-2虚拟中安装刚才颁发的电子邮件保护证书，看图操作：












     ⑦在Client-XP-1虚拟机中简单查看一下刚才安装的电子邮件保护证书，大家了解：








     ⑧下面为zhang3这个电子邮件账户选择签名和加密的证书（就是刚才安装的那个电子邮件保护证书），看图操作：


















     ⑨下面为lynet这个电子邮件账户选择签名和加密的证书（也是刚才安装的那个电子邮件保护证书），看图操作：
















     ⑩下面简单的测试一下电子邮件的签名和加密，大家也看图操作了：


























     （8）下面给大家补充点加密的用处，大家看了就更明白了：
     （1）我们在 Client-XP-2虚拟机中找到OE软件收件箱的位置，大家看图操作：






     （2）将找到的收件箱复制到另一台虚拟机中，这里我将其复制到CA-Server虚拟机中，看图操作：




     （3）利用前面的方法，我们也找到CA-Server虚拟机OE软件收件箱的位置，并用刚才复制的收件箱替换其原来的收件箱，看图操作：






     （4）替换完成后，我们打开OE软件，发现其收件箱的内容与Client-XP-2虚拟机中OE软件的收件箱内容基本一样，但是有一点不一样，就是加密的邮件在这台虚拟机的OE软件中看不到内容，这是邮件加了密的缘故，只有拥有相应密钥的才能查看内容，这点大家了解了：






     实验到此为止了，其中有一台虚拟机本来是计划介绍其他的一些邮件服务器软件的，但在做这个教程时，不知不觉就发现内容已经太多了，所以我就决定先不介绍了，以上介绍的内容希望大家多实践，并且多观察，多思考，这都是半年前都已经截好了的图的，大家体谅：