數(shù)字證書的應(yīng)用

1、電子郵件與數(shù)字證書安全電子郵件證書中包含證書持有者的電子郵件地址、公鑰及CA中心的簽名。使用安全電子郵件證書可以收發(fā)加密和數(shù)字簽名郵件，保證電子郵件傳輸中的機密性、完整性和不可否認性，確保電子郵件通信各方身份的真實性。證書可以存貯在硬盤、USB中。安全電子郵件利用公鑰算法保證你的簽名郵件不會被篡改，而你的加密郵件除了郵件接收者以外(甚至你自己)的任何人無法閱讀其中的內(nèi)容。需要注意的是，證書中的郵件地址必須同綁定的郵件帳號一致。這樣就可以對自己的郵件簽名和加密了。下面，通過一個存儲在硬盤中的數(shù)字證書進行相關(guān)操作的演示。1. 在Outlook Express中設(shè)定郵件首先，打開Outlook Ex

2、press，然后選擇菜單中的“工具”菜單中的“帳戶”選項，出現(xiàn)“Internet帳戶”對話框，我們點擊右邊的“添加”按鈕，選擇“郵件”選項，如圖5所示。圖 5 輸入讀者的郵件顯示姓名，如“彭文波”；點擊“下一步” ，輸入讀者的電子郵件地址（如pwb2000）；點擊“下一步” ，系統(tǒng)讓讀者分別輸入接收郵件服務(wù)器和發(fā)送郵件服務(wù)器的域名或IP地址，如本例為：，；關(guān)于163的郵件設(shè)置，我們可以參考 的站點郵件設(shè)置幫助文件。如圖6所示。圖 6 繼續(xù)點擊“下一步”，系統(tǒng)讓讀者輸入登錄到郵箱的賬號和密碼，如果是163帳戶，建議讀者勾選“使用安全密碼驗證”。繼續(xù)點擊 “下一步”，可以看到成功設(shè)置了一個新的帳戶

3、。2. Outlook Express中設(shè)置郵箱與數(shù)字證書的綁定在Outlook Express6.0單擊菜單中的“工具”，選擇“賬號”，選取“郵件” 選項卡中的用于發(fā)送安全電子郵件的郵件賬號，即剛才建立的賬號“彭文波”，然后單擊“屬性”。如圖7所示。圖 7 選擇上面的“安全”標簽，可以看到 “簽署證書”和“加密首選項”兩欄。通過相關(guān)設(shè)置，我們可以進行郵件的簽署和加密。如圖8所示。圖 8 繼續(xù)上圖的設(shè)置，我們在“簽名證書”項后，點擊“選擇”按鈕。可以看到我們在注意：如果點擊“選擇”按鈕，沒有相關(guān)的證書彈出來，請確認讀者的證書已經(jīng)正確安裝且沒有過期。同時要確認讀者在Outlook Express

4、中所設(shè)置的郵箱與讀者在申請數(shù)字證書時所提供的郵箱一致。查看讀者在申請數(shù)字證書時所提供的郵箱方法：在Internet Explorer中，依次點擊“工具”中的“Internet選項”，選擇“內(nèi)容”選項卡中的“證書”，選中讀者的數(shù)字證書，點擊“查看”，找到“詳細信息”中的“主題”，讀者就可以看到郵箱。按照同樣的方法，讀者也可以在“加密首選項”中把讀者自己的證書選中。如圖9所示。圖 9 點擊確定。就可以準備發(fā)送加密電子郵件了。3. 發(fā)送簽名的電子郵件 我們啟動Outlook Express6.0，點擊“新郵件”，撰寫新郵件。同時我們選中右上方的“簽名”或者“加密”選項。如圖10所示。圖 10 發(fā)送簽

5、名電子郵件點擊“發(fā)送”，簽名郵件發(fā)送成功。當收件人收到并打開有數(shù)字簽名的郵件時，將看到 數(shù)字簽名郵件 的提示信息，按“繼續(xù)”按鈕后，才可閱讀到該郵件的內(nèi)容。如圖11所示。圖 11 接收簽名電子郵件若郵件在傳輸過程中被他人篡改或發(fā)信人的數(shù)字證書有問題，將出現(xiàn)“安全警告”提示。收到郵件后，我們可以看到，郵件的右邊中間有一個小圖標，點擊它，可以看到相關(guān)的數(shù)字證書信息，包括把查看他的相關(guān)信息、把發(fā)信人的數(shù)字證書添加到自己的通訊簿。如圖12所示。圖 12 發(fā)送加密郵件的方法與發(fā)送簽名郵件的方法類似，收取電子郵件實際上就是一個解密的過程，算法已經(jīng)隱藏在后臺運行了。通過這些具體的操作，我們對加密和解密也有了

6、更加深刻的認識。三、網(wǎng)站服務(wù)器與數(shù)字證書由于Windows NT系統(tǒng)的容易維護，很多單位或者ISP都采用它，大部分是做WEB服務(wù)器使用。雖然IIS存在很多新的漏洞和安全問題，但只要我們做好合理的安全配置，還是可以避免很多安全隱患的。因此，本文選擇IIS服務(wù)器來測試數(shù)字證書。1. http與https的相關(guān)知識簡單的說默認情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的，所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的，惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容。這點危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大，對于使用HUB的企業(yè)內(nèi)網(wǎng)來說簡直就是沒有任何安全可講因為任何人都可以在一臺電

7、腦上看到其他人在網(wǎng)絡(luò)中的活動，對于使用交換機來組網(wǎng)的網(wǎng)絡(luò)來說雖然安全威脅性要小很多，但很多時候還是會有安全突破口，比如沒有更改交換機的默認用戶和口令，被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽口，依然可以監(jiān)視整個網(wǎng)絡(luò)的所有活動。除了匿名訪問、基本驗證和Windows NT請求/響應(yīng)方式外，還有一種安全性更高的認證，就是通過SSL（Security Socket Layer）安全機制使用數(shù)字證書。建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https:/，而不是http:/。SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建

8、立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個惟一的安全通道。2. 申請服務(wù)器證書首先，在Windows2000中打開Internet信息服務(wù)管理器，然后打開要為之申請證書的站點的屬性。以筆者的機器

9、為例，選擇“默認web站點”，點擊右鍵，在彈出的菜單中選擇“屬性”，出現(xiàn)屬性對話框。找到“目錄安全性”對話框。如果以前從未用過這項，“編輯”顯示為灰色。如圖13所示。圖 13 選擇“服務(wù)器證書”按鈕，根據(jù)服務(wù)器證書的狀態(tài)，選擇“下一步”。在出現(xiàn)的選項中，選擇“創(chuàng)建一個新證書”。現(xiàn)在可以準備證書請求了。點擊“下一步”。在這一步，要選擇私鑰的長度，建議選能力范圍內(nèi)能選的最大值。如圖14所示。圖 14 如果我們已經(jīng)產(chǎn)生了一對密鑰。私鑰將存儲在機器上。這些信息將顯示在證書上，并將說明這個密鑰的所有者。接著輸入組織信息和公鑰信息。然后輸入公用名稱。注意“公用名稱”是用來區(qū)分不同證書的最好方法。在SSL服

10、務(wù)器證書的情況下，一般輸入主機的域名，比如即可。如圖15所示。圖 15 接著輸入地理信息。選擇存儲證書請求的文件，選擇一個容易找到的位置，用寫字板打開這個文件，拷貝并粘貼在我們的申請頁面的“證書請求”一欄中。 一旦請求被提交，將不再需要這個文件。最后產(chǎn)生申請的摘要信息，點擊“下一步”，完成申請步驟。如圖16所示。圖 16 當證書請求產(chǎn)生之后，會被保存為一個使用默認文件名（如certreq.txt）或您指定文件名的文本文件，存儲在服務(wù)器的硬盤上。使用 NotePad 或其他 ASCII 文本編輯器打開證書請求文件，可以查看證書請求的內(nèi)容。注意，不能用Word或其他文字處理軟件打開證書請求文件，因

11、為這些軟件會在證書請求文件中插入格式控制符。3. 獲得服務(wù)器證書和安裝服務(wù)器證書 獲得服務(wù)器證書的方法和本文中獲得個人數(shù)字證書的方法有點類似。需要注意的是，要保存好剛才的申請文件，在申請的過程中需要使用到這個文件，而且這個文件只能使用一次，而且在申請的時候一定要把證書請求復(fù)制到文本框，具體可以登陸安裝證書的時候，在Windows2000中打開Internet信息服務(wù)管理器，然后打開要為之申請證書的站點的屬性。還是選擇“目錄安全性”，選擇“服務(wù)器證書”，現(xiàn)在我們發(fā)現(xiàn)，服務(wù)器已經(jīng)掛起了一個證書請求。根據(jù)證書向?qū)?，處理掛起的請求并安裝證書。如圖17所示。圖 17 點擊“下一步”，輸入剛才申請到的se

12、rver.cer文件的路徑和名稱。繼續(xù)“下一步”，可以得到摘要信息。如圖18所示。圖 18 單擊“下一步”，完成服務(wù)器證書的安裝。4. 服務(wù)器證書的設(shè)置和服務(wù)器的訪問在Windows2000中打開Internet信息服務(wù)管理器，然后打開要為之申請證書的站點的屬性。選擇“目錄安全性”，選擇“服務(wù)器證書”，我們發(fā)現(xiàn)，現(xiàn)在下方的三個按鈕都能夠使用了。如圖19所示。圖 19 選擇“編輯”按鈕，就可以對訪問用戶進行控制了。如圖20所示。圖 20 看到這里，讀者朋友應(yīng)該可以明白為什么我們可以訪問的原因了吧。事實上，國內(nèi)商家的網(wǎng)上交易很多就是在這個安全隧道里面進行的。有了這個安全保證，我們就可以在網(wǎng)上放心的

13、購物了。四、利用數(shù)字證書進行代碼簽名當你在店鋪里購買軟件時，軟件的來源很清楚，你可以分辨軟件的提供商；同時，憑借軟件的封裝，你可以看到軟件有沒有被拆封過。籍此，人們可以決定對軟件的信任程度。但是，當軟件放到了Internet上，你在下載時，還能有足夠的信心嗎？在計算機病毒橫行的今天，也許，你正在下載的殺毒軟件恰是一個病毒程序，這樣的事情一點也不奇怪，那么，我們在網(wǎng)上怎么信任那些exe文件呢？ 任何軟件提供商要想通過網(wǎng)絡(luò)來發(fā)布代碼或程序，都會面臨著軟件被仿冒和篡改的風險。通過數(shù)字證書使用代碼簽名技術(shù)就可以有效地防范這些風險。代碼簽名證書是CA中心簽發(fā)給軟件提供商的數(shù)字證書，包含軟件提供商的身份信

14、息、公鑰及簽名。軟件提供商使用代碼簽名證書對軟件進行簽名后放到Internet上，當用戶在Internet上下載該軟件時，將會得到提示，從而可以確信軟件的來源和軟件自簽名后到下載前沒有遭到修改或破壞。 對于用戶來說，使用代碼簽名證書可以清楚了解軟件的來源和可靠性，增強了用戶使用Internet獲取軟件的決心。萬一用戶下載的是有害軟件，也可以根據(jù)證書追蹤到軟件的來源。對于軟件提供商來說，使用代碼簽名證書，其軟件產(chǎn)品更難以被仿造和篡改，增強了軟件提供商與用戶間的信任度和軟件商的信譽。如果你編寫一個ActiveX 控件并放在網(wǎng)頁中，別人通過Internet下載時通常會出現(xiàn)一個安全警告，提示代碼沒有簽

15、名。在你的Certificate Server安裝目錄下找到xenroll.cab，并查看其屬性，你會發(fā)現(xiàn)多了一欄數(shù)字簽名，這里你可以查看簽名驗證情況以及相關(guān)證書。要給自己的程序簽名其實也很簡單，Microsoft有一個Authenticode工具專名用來給代碼簽名，你可以從Microsoft站點下載到，里面有許多工具，但通常你只要用到signcode.exe就夠了。首先你需要有一個代碼簽名證書，然后使用signcode.exe使用過程很方便，基本是wizard方式的，在提示選擇使用的簽名證書時按“從存儲器選擇”按鈕選擇簽名證書。你可以選擇將所以證書放入簽名，也可以不將根證書放入簽名，建議不要

16、將根證書放入簽名，還是應(yīng)讓用戶從你的站點下載根證書，因為帶根證書的簽名是沒有意義的，雖然這會給用戶帶來一些麻煩(他需要先安裝根證書才能正確驗證你的簽名)。在提示加入時間戳時選擇不加入時間戳。完成簽名后你可以從文件屬性驗證其簽名和證書。時間戳的作用在于證明某一段數(shù)據(jù)在該時間的存在性。比如你有一個重大發(fā)現(xiàn)，希望用它來爭取諾貝爾獎，你用Word編寫你的論文，但是為了證明你是第一個發(fā)現(xiàn)者，你需要證明你寫論文的時間，由于文件的時間可任意修改，不能作為證明，所以你需要有一個時間戳，你通過某個Hash算法計算出你的Word文件的摘要并發(fā)送給一個權(quán)威的時間戳簽名服務(wù)商(DTS)，DTS對摘要和簽發(fā)時間進行簽名形成時間戳發(fā)還給你，你將文件時間戳合并，作為將來證明你撰寫論文時間的依據(jù)。時間戳服務(wù)需要很高的權(quán)威性，所以對私鑰存儲，時間來源都有很高的要求。目前這方面應(yīng)用不多，好象Office 2000似乎支持時間戳功能。無論是SSL也好，安全電子郵件也好，代碼簽名也好都是Netscape最先提出和使用的，在Netscape中使用這些技術(shù)，方法都很相似(Microsoft學的還真象)，所以這里不再多說了。IE5.0以后，Microsoft的這些技術(shù)和產(chǎn)品已經(jīng)比較成熟，在功能上部分超越了Ne