数字证书的应用.doc

《数字证书的应用.doc》由会员分享，可在线阅读，更多相关《数字证书的应用.doc（17页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流数字证书的应用.精品文档.电子邮件与数字证书 安全电子邮件证书中包含证书持有者的电子邮件地址、公钥及CA中心的签名。使用安全电子邮件证书可以收发加密和数字签名邮件，保证电子邮件传输中的机密性、完整性和不可否认性，确保电子邮件通信各方身份的真实性。证书可以存贮在硬盘、USB中。安全电子邮件利用公钥算法保证你的签名邮件不会被篡改，而你的加密邮件除了邮件接收者以外(甚至你自己)的任何人无法阅读其中的内容。需要注意的是，证书中的邮件地址必须同绑定的邮件帐号一致。这样就可以对自己的邮件签名和加密了。下面，通过一个存储在硬盘中的数字证书进行相关操作的演示

2、。1. 在Outlook Express中设定邮件首先，打开Outlook Express，然后选择菜单中的“工具”菜单中的“帐户”选项，出现“Internet帐户”对话框，我们点击右边的“添加”按钮，选择“邮件”选项，如图5所示。图 5 输入读者的邮件显示姓名，如“彭文波”；点击“下一步” ，输入读者的电子邮件地址（如pwb2000）；点击“下一步” ，系统让读者分别输入接收邮件服务器和发送邮件服务器的域名或IP地址，如本例为：，；关于163的邮件设置，我们可以参考 的站点邮件设置帮助文件。如图6所示。图 6 继续点击“下一步”，系统让读者输入登录到邮箱的账号和密码，如果是163帐户，建议读

3、者勾选“使用安全密码验证”。继续点击 “下一步”，可以看到成功设置了一个新的帐户。2. Outlook Express中设置邮箱与数字证书的绑定在Outlook Express6.0单击菜单中的“工具”，选择“账号”，选取“邮件” 选项卡中的用于发送安全电子邮件的邮件账号，即刚才建立的账号“彭文波”，然后单击“属性”。如图7所示。图 7 选择上面的“安全”标签，可以看到 “签署证书”和“加密首选项”两栏。通过相关设置，我们可以进行邮件的签署和加密。如图8所示。图 8 继续上图的设置，我们在“签名证书”项后，点击“选择”按钮。可以看到我们在注意：如果点击“选择”按钮，没有相关的证书弹出来，请确认

4、读者的证书已经正确安装且没有过期。同时要确认读者在Outlook Express中所设置的邮箱与读者在申请数字证书时所提供的邮箱一致。查看读者在申请数字证书时所提供的邮箱方法：在Internet Explorer中，依次点击“工具”中的“Internet选项”，选择“内容”选项卡中的“证书”，选中读者的数字证书，点击“查看”，找到“详细信息”中的“主题”，读者就可以看到邮箱。按照同样的方法，读者也可以在“加密首选项”中把读者自己的证书选中。如图9所示。图 9 点击确定。就可以准备发送加密电子邮件了。3. 发送签名的电子邮件 发送加密邮件前必须先获得接收方的数字标识，读者可以首先让接收方给读者发

5、一份签名邮件来获取对方的数字标识或者直接到电子商务安全认证中心的的网站如的站点上面去查询下载来获取对方的数字标识我们启动Outlook Express6.0，点击“新邮件”，撰写新邮件。同时我们选中右上方的“签名”或者“加密”选项。如图10所示。图 10 发送签名电子邮件点击“发送”，签名邮件发送成功。当收件人收到并打开有数字签名的邮件时，将看到 数字签名邮件 的提示信息，按“继续”按钮后，才可阅读到该邮件的内容。如图11所示。图 11 接收签名电子邮件若邮件在传输过程中被他人篡改或发信人的数字证书有问题，将出现“安全警告”提示。收到邮件后，我们可以看到，邮件的右边中间有一个小图标，点击它，可

6、以看到相关的数字证书信息，包括把查看他的相关信息、把发信人的数字证书添加到自己的通讯簿。如图12所示。图 12 发送加密邮件的方法与发送签名邮件的方法类似，收取电子邮件实际上就是一个解密的过程，算法已经隐藏在后台运行了。通过这些具体的操作，我们对加密和解密也有了更加深刻的认识。三、网站服务器与数字证书 由于Windows NT系统的容易维护，很多单位或者ISP都采用它，大部分是做WEB服务器使用。虽然IIS存在很多新的漏洞和安全问题，但只要我们做好合理的安全配置，还是可以避免很多安全隐患的。因此，本文选择IIS服务器来测试数字证书。1. http与https的相关知识简单的说默认情况下我们所使

7、用的HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说虽然安全威胁性要小很多，但很多时候还是会有安全突破口，比如没有更改交换机的默认用户和口令，被人上去把自己的网络接口设置为侦听口，依然可以监视整个网络的所有活动。除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（Securi

8、ty Socket Layer）安全机制使用数字证书。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:/，而不是http:/。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，

9、并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。2. 申请服务器证书首先，在Windows2000中打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。以笔者的机器为例，选择“默认web站点”，点击右键，在弹出的菜单中选择“属性”，出现属性对话框。找到“目录安全性”对话框。如果以前从未用过这项，“编辑”显示为灰色。如图13所示。图 13 选择“服务器证书”按钮，根据服务器证书的状态，选择“下一步”。在出现的选项中，选择“创建一个新证书”。现在可以准备证书请求了。点击“下一步”。在这一步，要选择私

10、钥的长度，建议选能力范围内能选的最大值。如图14所示。图 14 如果我们已经产生了一对密钥。私钥将存储在机器上。这些信息将显示在证书上，并将说明这个密钥的所有者。接着输入组织信息和公钥信息。然后输入公用名称。注意“公用名称”是用来区分不同证书的最好方法。在SSL服务器证书的情况下，一般输入主机的域名，比如即可。如图15所示。图 15 接着输入地理信息。选择存储证书请求的文件，选择一个容易找到的位置，用写字板打开这个文件，拷贝并粘贴在我们的申请页面的“证书请求”一栏中。 一旦请求被提交，将不再需要这个文件。最后产生申请的摘要信息，点击“下一步”，完成申请步骤。如图16所示。图 16 当证书请求产

11、生之后，会被保存为一个使用默认文件名（如certreq.txt）或您指定文件名的文本文件，存储在服务器的硬盘上。使用 NotePad 或其他 ASCII 文本编辑器打开证书请求文件，可以查看证书请求的内容。注意，不能用Word或其他文字处理软件打开证书请求文件，因为这些软件会在证书请求文件中插入格式控制符。3. 获得服务器证书和安装服务器证书 获得服务器证书的方法和本文中获得个人数字证书的方法有点类似。需要注意的是，要保存好刚才的申请文件，在申请的过程中需要使用到这个文件，而且这个文件只能使用一次，而且在申请的时候一定要把证书请求复制到文本框，具体可以登陆安装证书的时候，在Windows200

12、0中打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。还是选择“目录安全性”，选择“服务器证书”，现在我们发现，服务器已经挂起了一个证书请求。根据证书向导，处理挂起的请求并安装证书。如图17所示。图 17 点击“下一步”，输入刚才申请到的server.cer文件的路径和名称。继续“下一步”，可以得到摘要信息。如图18所示。图 18 单击“下一步”，完成服务器证书的安装。4. 服务器证书的设置和服务器的访问在Windows2000中打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。选择“目录安全性”，选择“服务器证书”，我们发现，现在下方的三个按钮都能

13、够使用了。如图19所示。图 19 选择“编辑”按钮，就可以对访问用户进行控制了。如图20所示。图 20 看到这里，读者朋友应该可以明白为什么我们可以访问的原因了吧。事实上，国内商家的网上交易很多就是在这个安全隧道里面进行的。有了这个安全保证，我们就可以在网上放心的购物了。四、利用数字证书进行代码签名 当你在店铺里购买软件时，软件的来源很清楚，你可以分辨软件的提供商；同时，凭借软件的封装，你可以看到软件有没有被拆封过。籍此，人们可以决定对软件的信任程度。但是，当软件放到了Internet上，你在下载时，还能有足够的信心吗？在计算机病毒横行的今天，也许，你正在下载的杀毒软件恰是一个病毒程序，这样的

14、事情一点也不奇怪，那么，我们在网上怎么信任那些exe文件呢？ 任何软件提供商要想通过网络来发布代码或程序，都会面临着软件被仿冒和篡改的风险。通过数字证书使用代码签名技术就可以有效地防范这些风险。代码签名证书是CA中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及签名。软件提供商使用代码签名证书对软件进行签名后放到Internet上，当用户在Internet上下载该软件时，将会得到提示，从而可以确信软件的来源和软件自签名后到下载前没有遭到修改或破坏。 对于用户来说，使用代码签名证书可以清楚了解软件的来源和可靠性，增强了用户使用Internet获取软件的决心。万一用户下载的是有害软件

15、，也可以根据证书追踪到软件的来源。对于软件提供商来说，使用代码签名证书，其软件产品更难以被仿造和篡改，增强了软件提供商与用户间的信任度和软件商的信誉。如果你编写一个ActiveX 控件并放在网页中，别人通过Internet下载时通常会出现一个安全警告，提示代码没有签名。在你的Certificate Server安装目录下找到xenroll.cab，并查看其属性，你会发现多了一栏数字签名，这里你可以查看签名验证情况以及相关证书。要给自己的程序签名其实也很简单，Microsoft有一个Authenticode工具专名用来给代码签名，你可以从Microsoft站点下载到，里面有许多工具，但通常你只要

16、用到signcode.exe就够了。首先你需要有一个代码签名证书，然后使用signcode.exe使用过程很方便，基本是wizard方式的，在提示选择使用的签名证书时按“从存储器选择”按钮选择签名证书。你可以选择将所以证书放入签名，也可以不将根证书放入签名，建议不要将根证书放入签名，还是应让用户从你的站点下载根证书，因为带根证书的签名是没有意义的，虽然这会给用户带来一些麻烦(他需要先安装根证书才能正确验证你的签名)。在提示加入时间戳时选择不加入时间戳。完成签名后你可以从文件属性验证其签名和证书。时间戳的作用在于证明某一段数据在该时间的存在性。比如你有一个重大发现，希望用它来争取诺贝尔奖，你用W

17、ord编写你的论文，但是为了证明你是第一个发现者，你需要证明你写论文的时间，由于文件的时间可任意修改，不能作为证明，所以你需要有一个时间戳，你通过某个Hash算法计算出你的Word文件的摘要并发送给一个权威的时间戳签名服务商(DTS)，DTS对摘要和签发时间进行签名形成时间戳发还给你，你将文件时间戳合并，作为将来证明你撰写论文时间的依据。时间戳服务需要很高的权威性，所以对私钥存储，时间来源都有很高的要求。目前这方面应用不多，好象Office 2000似乎支持时间戳功能。无论是SSL也好，安全电子邮件也好，代码签名也好都是Netscape最先提出和使用的，在Netscape中使用这些技术，方法都

18、很相似(Microsoft学的还真象)，所以这里不再多说了。IE5.0以后，Microsoft的这些技术和产品已经比较成熟，在功能上部分超越了Netscape，但Netscape毕竟是原创，在这方面的文档资料比较全面，讨论组和邮件列表也比较多，所以在技术支持方面会比较好一点。目前，代码签名证书可以对32-bit .exe、.cab、.ocx、.class等程序和文件进行签名。数字证书在网络安全中的使用还有很多，比如软件的版权签名、通过专门的数字签名软件给文档盖“公章”、进行网络站点的安全访问等，掌握这些知识将对我们今后的学习和工作产生很大的影响。毫无疑问，这将逐渐成为一种网络安全趋势，没有这些身份认证，我们在网络上将寸步难行，读者朋友可以在今后的学习和使用中多多体会。