1.用PGP组件保证邮件安全实验目的掌握在Windows下安装和使用PGP软件,保证电子邮件的安全性。预备知识1.密码学基础;2.对称式、非对称式、Hash加密的原理;3.PGP软件的原理。建议实验环境1.使用Windows系统(Windows2000professional简体中文版)的PC机;建议实验工具1.软件包PGP;2.软件包GnuGP。实验用时180分钟。实验步骤任务一配置OutlookExpress程序1.打开OutlookExpress,输入用户名。图5-1输入邮件客户端用户名2.输入邮件地址。图5-2输入邮件地址3.输入收件服务器和发件服务器的IP地址或域名。图5-3定义邮件服务器4.输入账户名和密码,OutlookExpress配置完毕。图5-4输入账户名和密码任务二在Windows下安装PGP软件1.运行PGP软件的安装程序,点击“Next”。图5-5PGP组件安装提示界面2.输入用户名称和公司名称。图5-6输入用户名称和公司名称3.出现提示“是否已经有密钥”,选择“否”。图5-7密钥判定问询4.暂时不发送密钥,点击“完成”。图5-8安装完成任务三在Windows下运行PGP软件,并创建密钥对1.在开始菜单→programes→PGP下运行PGPtray。图5-9打开PGP主窗口2.在右下脚会出现一个小锁的图标,表示PGP软件已经运行。图5-10PGP运行图标3.用鼠标右键点击小锁图标,选择PGPkeys来创建密钥。图5-11运行PGPKeys程序4.选择“下一步”进行创建密钥的活动。5.输入用户名和电子邮件地址。图5-12输入用户名和电子邮件地址6.选择创建密钥对的算法。图5-13选择创建密钥对的算法7.选择密钥的长度。图5-14选择密钥长度8.选择密钥是否过期,如果选择过期,需要确定失效的时间。图5-15设置密钥时效9.输入私钥保护密码。图5-16输入私钥保护密码10.点击“下一步”后,看到生成的密钥。图5-17察看生成的密钥11.鼠标右键点击密钥,选择Export项导出公钥。图5-18导出密钥12.选择存储公钥的位置。图5-19选择存储公钥的位置13.成功导出后,互换密钥,在“资源管理器”中双击导入他人的公钥,选择Import。图5-20导入他人的公钥14.导入成功后可以看到自己的一对秘钥和他人的公钥。图5-21查阅导入的密钥任务四在Windows下用PGP软件加密电子邮件1.打开OutlookExpress写一封测试邮件。图5-22书写一封测试邮件2.光标放在信件内容中,鼠标右键点击小锁图标,选择CurrentWindows→Encrypt&Sign。图5-23邮件加密3.选择收信人的密钥。图5-24选择收信人的密钥4.输入发信人的私钥保护密钥。图5-25输入发信人的私钥保护密钥5.产生一封加密的电子邮件图5-26加密的电子邮件任务五在Windows下解密用PGP软件加密的电子邮件1.用OutlookExpress收邮件。图5-27接收邮件2.双击邮件,记入查看状态,把光标设在邮件的内容上,鼠标右键点击小锁图标,选择CurrentWindows→Decrypt&Verify。图5-28解密并验证邮件3.输入自己私钥密码。图5-29输入自己私钥密码4.看到信件原文内容。图5-30信件原文内容第一行:表示邮件状态良好;第二行:表示邮件的发件人地址;第三行:签名时间;第四行:验证时间;第五行至结尾:信件内容。2.配置SSL连接实验目的掌握在Windows下安装和使用安全的Web服务——SSL,从而用HTTPS(安全的HTTP)协议替换HTTP协议,实现安全的Web浏览访问。预备知识1.密码学基础;2.SSL实现的原理。建议实验环境1.使用Windows系统(Windows2000Professional简体中文版)的PC机;建议实验工具1.软件包WindowsIIS证书服务;实验用时200分钟。实验过程与步骤任务一在Windows上安装证书服务1.安装Windows2000证书服务,单击开始→设置→控制面板,选择添加/删除程序选取添加/删除Windows组件,选取证书服务。图3-1添加证书服务组件2.证书服务的安装比较重要,因此安装后不能修改计算机名,同时不能改变域的关系,选择是,继续安装。3.选择安装证书服务机构的类型,是从级别高到低,只有安装作为域控制器的Windows2000Server才能安装企业根CA和企业从属CA,本实验选择独立根CA安装。图3-2选择安装证书服务机构的类型4.输入CA的注册信息,说明CA的属性。图3-3编辑CA属性5.确定CA数据库的文件存放位置。图3-4设定CA数据库的文件存放位置6.在安装CA的过程中,需要停止IIS服务。图3-5停止IIS服务7.安装证书服务成功后,IIS服务和证书服务都会自动开启。任务二Web网站申请证书1.从开始→程序→管理工具→Internet服务管理器,选中IIS中的默认Web网站,点击鼠标右键,选取属性。图3-6选择编辑默认Web站点属性2.选取目录安全性,鼠标点击服务器证书。图3-7站点属性对话框3.选取创建一个新证书。图3-8创建新证书4.现在是创建一个证书请求文件。5.设置Web站点信息。图3-9证书参数设置——名称和密钥长度6.设置组织信息。图3-10证书参数设置——组织和部门7.设置站点的公用名称。图3-11证书参数设置——站点公用名称8.设置站点地理信息。图3-12证书参数设置——地理信息9.选取存放请求文件的位置。图3-13证书参数设置——请求文件位置10.确认信息,完成请求证书文件。任务三Web服务提交申请1.证书是通过Web方式提交,打开IE选择申请证书。图3-14证书申请页面2.在申请类型方面,选择高级申请。图3-15高级申请页面3.高级证书申请中,选择Base64编码方式。图3-16设定申请方法4.把刚才申请的证书请求文件的内容复制在框内,进行提交。图3-17提交申请5.看到内容,提交成功。图3-18申请成功提示页面任务四CA颁发证书1.选取开始→程序→管理工具→证书颁发机构。图3-19打开证书颁发机构窗口2.在待定申请中看到刚才的申请证书的请求。图3-20证书颁发机构窗口3.鼠标右键点击证书请求,选择所有任务→颁发。图3-21颁发待定申请4.在颁发的证书中看到刚才的申请。图3-22查阅已颁发证书任务五Web网站下载CA颁发的证书1.打开IE,输入,选择检查挂起的证书。图3-23检查挂起的证书2.看到刚才申请的证书,将该证书选中。图3-24选中申请的证书3.下载CA证书。图3-25下载CA证书4.保存到文件,选取存放位置。图3-26保存CA证书任务六在Web服务器上安装证书1.还是通过IIS选项,找到目录安全性,选择服务器证书。图3-27编辑目录安全性2.选择处理挂起的请求并安装证书。图3-28处理并安装证书3.选择刚才存放证书的位置。图3-29选择证书4.确认证书信息。图3-30确认证书信息5.安装证书成功,需要开启SSL通道。图3-31开启SSL通道6.选择申请安全通道(SSL)。图3-32选择开启方式任务七访问Web网站,进行验证通过IE浏览器Web网站,看到证书。图3-33使用SSL的提示信息注意:这时候在IE中输入的是HTTPS协议,不是HTTP。任务八客户端证书1.安装客户端证书,与前面介绍的提交服务器的证书请求的位置一样。图3-34申请客户端证书2.选择申请类型时,选择Web浏览器证书。图3-35选择浏览器证书3.填写客户端用户信息。图3-36填写证书信息4.提交后,等待服务器颁发证书。5.CA颁发客户端证书,与前面颁发服务器端证书相同。图3-37待颁发的客户端证书6.客户端下载并安装证书,选择检查挂起的证书。图3-38检查挂企的客户端证书7.选定证书,选择下一步。图3-39选中客户端证书8.点击安装证书。图3-40安装客户端证书9.证书安装成功。图3-41证书安装成功提示页面10.需要配置Web服务器,开启对于客户端证书的需求。客户证书,选择申请客户证书。图3-42配置客户端证书要求整个实验完成后,从客户选取存放位置到服务器端的数据传输都是安全的,数据是以密文方式传输的,同时可以通过证书进行认证,即认证客户端也认证服务器端。3.实现安全的SSH管理实验目的掌握在Linux和Windows下安装和使用SSH,在Windows下安装pcanywhere、终端服务,替代Telnet等明文传输协议。预备知识1.密码学基础;2.SSH实现的原理;3.终端服务的概念。建议实验环境1.使用Windows系统(Windows2000professional简体中文版)的PC机;2.RedHatLinux操作系统建议实验工具1.软件包F-securessh(Windows版客户端和服务器端);2.软件包ssh-3.0.1.tar.gz;任务一在Linux下创建分发密钥1.以root用户身份登录。退出到根目录:host#cd/2.创建密钥对:host#/usr/local/bin/ssh-keygen2随后ssh-keuygen2将开始执行并创建密钥对。3.当ssh-keygen2提示时,输入password作为私钥密码并加以确认;在这一步,私钥设为password;ssh2-keygen2将在登录的宿主目录下自动创建名为.ssh2的隐藏目录。4.进入ssh-keygen2程序创建的.ssh2隐藏目录:host#cd.ssh25.使用ls命令列出该目录下的所有内容。注意在列出的清单中名称类似于id_dsa_1024_a和id_dsa_1024_a.pub的两个文件。在这里,id_dsa_1024_a应该是私钥文件,而id_dsa_1024_a.pub为公钥文件,dsa是算法名称,1024指加密长度/强度。6.创建上述两个文件的拷贝,分别命名为sx和sx.pub(x为自己的座位号)。host#cpid_dsa_1024_asxhost#cpid_dsa_1024_a.pubsx.pub注意:不要将公钥文件和私钥文件混淆。7.FTP连接到teacher,将sx.pub文件上传到teacher的FTP目录下在同一处下载合作伙伴的公钥文件。任务二在Linux下实现SSH安全认证1.以root用户身份登录到Linux。2.进入.ssh目录:host#cd/.ssh/。3.创建名为identification和authorization的文件:host#touchidentificationhost#touchauthorization4.用vi编辑identification文件,加入下面一行并加以保存:IdkeyPrivateKey_Name这里PrivateKey_Name为自己的私钥文件名称。5.获得合作伙伴的公钥文件sx.pub并将其放置在.ssh2目录下。用vi编辑authorization文件,加入下面一行并加以保存:KeyPublicKey_Name.pub这一步中的PublicKey_Name.pub为合作伙伴的公钥文件名称。6.确信/usr/local/sbin/sshd2正常运行。执行以下命令实施公钥体系:host#/usr/local/bin/ssh2–lrootpartner’s_machine7.在提示状态下输入自己的私钥,密码为password,一旦通过认证,将获得合作伙伴系统的rootshell权限。注意:如果在这一步有异常现象,可能由以下原因引起:(1)合作伙伴没有受到自己的公钥文件或没有将公钥文件置于它的.ssh目录下。(2)合作伙伴没有在他的authorization文件中添加针对自己的认证项(Keysx.pub)。退出合作伙伴的系统,再重新连接,在要求输入密码时输入错误的密码;接下来系统要求输入合作伙伴的root密码,这一过程仍然是加密传输的,正确输入后同样可以登录,但是不再使用公钥认证。8.执行以下命令,建立