一、实验目的

通过搭建CA服务器和邮件服务器,实现mutt客户端的邮件服务。

二、实验内容

实验 实现dovecot邮件服务的加密认证和签证

三、实验环境与准备

准备三个同网段的虚拟机,ip分别是:192.168.10.100, 192.168.10.110 ,192.168.10.120.

其中一台配置成CADNS的服务器(10.100),主机名设置为:ca.ujiuye123.com;

一台配置成dovecot邮件服务器(10.110),主机名设置为:mail.ujiuye123.com;

一台配置成mutt客户端(10.120),主机名设置为:client.ujiuye123.com.

以上三台虚拟机均是centos 7系统。

四、实验分析与设计思路

首先,对三台虚拟机进行改名,并搭建CA服务器和DNS服务器,以便于实现DNS域名的解析,同时对邮件服务器进行CA加密认证及签证;

其次,设置邮件服务器,制作邮件服务器的CA证书,并将CA证书请求文件发送给CA进行核验并签署,然后CA方将签署好的CA证书发还给邮件服务器,邮件服务器收到后将其移到指定的目录,启动服务,查看端口状态。

最后,对邮件客户端进行设置。先安装mutt客户端,然后设置邮件服务器邮箱地址,并获取证书,查看其是否成功。

五:主要实验过程
  1. 配置CA服务器
  2. 更改主机名(这样就是永久改名,开机重启后仍可以显示更改后的名字)

邮件服务的加密认证和认证_配置文件

邮件服务的加密认证和认证_客户端_02

  1. 配置网络

邮件服务的加密认证和认证_邮件服务器_03

重启网络:

邮件服务的加密认证和认证_dns服务器_04
  1. 生成CA的私钥、公钥和证书

1)创建索引文件和序列号文件,并写入序列号。

邮件服务的加密认证和认证_邮件服务器_05

  1. 生成私钥

邮件服务的加密认证和认证_服务器_06

  1. 更改私钥权限

邮件服务的加密认证和认证_dns服务器_07

4)提取公钥,生成自签证书

邮件服务的加密认证和认证_配置文件_08

  1. 配置DNS服务器
  2. 下载DNS相关软件

邮件服务的加密认证和认证_配置文件_09

  1. 配置主配置文件(/etc/named.conf)

邮件服务的加密认证和认证_dns服务器_10

邮件服务的加密认证和认证_邮件服务器_11

邮件服务的加密认证和认证_客户端_12

邮件服务的加密认证和认证_配置文件_13

  1. 配置辅助配置文件

邮件服务的加密认证和认证_客户端_14

邮件服务的加密认证和认证_客户端_15

邮件服务的加密认证和认证_dns服务器_16

  1. 配置区域解析文件(/var/named/​ujiuye123.com.zone​

邮件服务的加密认证和认证_客户端_17

邮件服务的加密认证和认证_邮件服务器_18

邮件服务的加密认证和认证_配置文件_19

邮件服务的加密认证和认证_配置文件_20

  1. 匹配DNS,指向域名解析服务器

邮件服务的加密认证和认证_客户端_21

  1. 重启DNS服务

systemctl restart named

  1. 配置邮件服务器
  2. 更改主机名

邮件服务的加密认证和认证_dns服务器_22

邮件服务的加密认证和认证_配置文件_23

邮件服务的加密认证和认证_客户端_24

  1. 配置网络

邮件服务的加密认证和认证_邮件服务器_25

邮件服务的加密认证和认证_邮件服务器_26

邮件服务的加密认证和认证_服务器_27

  1. 匹配DNS服务,指向域名解析服务器

邮件服务的加密认证和认证_邮件服务器_28

  1. 下载dovecot邮件程序

邮件服务的加密认证和认证_邮件服务器_29

  1. 进入邮件程序的配置文件

邮件服务的加密认证和认证_邮件服务器_30

  1. 修改证书名和私钥名,并更改其后缀名

邮件服务的加密认证和认证_客户端_31

  1. 删除原有的模板证书和私钥

邮件服务的加密认证和认证_邮件服务器_32

  1. 生成私钥

邮件服务的加密认证和认证_客户端_33

  1. 通过私钥提取私钥,生成证书

邮件服务的加密认证和认证_配置文件_34

邮件服务的加密认证和认证_服务器_35

  1. 将证书请求发给CA方进行核验并签署

邮件服务的加密认证和认证_邮件服务器_36

  1. CA方对收到的来自邮件服务器的CA证书请求进行处理
  2. 核验签署

邮件服务的加密认证和认证_邮件服务器_37

2)签署确认

邮件服务的加密认证和认证_邮件服务器_38

3)将签署好的CA证书发送给邮件服务器

1)发送

邮件服务的加密认证和认证_邮件服务器_39

  1. 发送确认

邮件服务的加密认证和认证_配置文件_40

  1. 签署好的邮件服务器CA证书移至专属目录下

邮件服务的加密认证和认证_邮件服务器_41

  1. 邮件服务器对CA方发过来的证书进行处理
  2. 邮件服务器将收到签收后的CA证书

邮件服务的加密认证和认证_邮件服务器_42

  1. 开启邮件服务

邮件服务的加密认证和认证_服务器_43

  1. 查看端口监听动态

邮件服务的加密认证和认证_配置文件_44

  1. 配置client客户端
  2. 配置文件

邮件服务的加密认证和认证_邮件服务器_45

邮件服务的加密认证和认证_dns服务器_46

邮件服务的加密认证和认证_配置文件_47

  1. 指向DNS服务器

邮件服务的加密认证和认证_服务器_48

邮件服务的加密认证和认证_配置文件_49

  1. 下载mutt邮件客户端

邮件服务的加密认证和认证_邮件服务器_50

4)创建邮件地址文件并编辑邮件路径

邮件服务的加密认证和认证_邮件服务器_51

邮件服务的加密认证和认证_dns服务器_52

5)将CA方根证书上传至本地家目录

邮件服务的加密认证和认证_服务器_53

  1. 输入mutt ,验证证书是否生效(下图为生效的图)

邮件服务的加密认证和认证_邮件服务器_54

六、实验结果及分析(学到了什么,通过什么实现的)
  1. 通过搭建CADNS服务器,实现CA证书的的签署和DNS域名的解析。
  2. 通过搭建邮件服务的搭建,实现邮件的加密服务。
  3. 通过mutt邮件客户端的搭建,可以测试CA服务器和邮件服务器是否实现了其功能。
七、总结(遇到的问题,解决问题的过程以及注意事项)

通过本次实验,学习到在linux中如何自动分配ip地址,而且在实验过程中思路一定要清晰。但有一些方面需要注意:

1.DNS服务器搭建好后,要将本区域内的所有主机,包括本机、邮件服务器和客户端都要指向DNS服务器,在 /etc/reslov.conf 中设置,否则无法解析域名,ping域名就不通。

2.在通过私钥提取公钥生成证书时,主机名要与本机名对应,若不对应,则可以删除对应的公钥,再生成证书。

3.在CA服务器上生成公钥时,注意其所在的路径,其在/etc/pki/CA下的cacert.pem中,见下图。

邮件服务的加密认证和认证_dns服务器_55

4.在DNS服务的搭建过程中,辅助配置文件的区域名要写对,若写错,则无法启动DNS服务,见下图:

邮件服务的加密认证和认证_服务器_56

5.在邮件服务器的搭建过程中,dovecot的配置文件中的证书和私钥要改名,改过名后的内容如下:

邮件服务的加密认证和认证_客户端_57