数字证书的使用

4.4.2　数字证书的使用

(一)绑定电子邮箱与数字证书

(1)在Outlook Express 6.0单击菜单中的“工具”，选择“账号”，选取“邮件”选项卡中的用于发送安全电子邮件的邮件账号，然后单击“属性”。如图4-14所示。

图4-14　查看邮件账号属性

(2)选择“安全”标签，在签名标识项中，点击“选择”按钮，再选择你的数字证书，点击确定完成邮箱与证书的绑定。你也可以点击查看证书，了解证书的详细信息，如图4-15所示。

图4-15　选择证书完成绑定

注意，如果点击“选择”按钮，没有相关的证书弹出来，请确认你的证书已经正确安装并且没有过期。同时，要确认你在Outlook Express中所设置的邮箱与在申请数字证书时所提供的邮箱一致。查看在申请数字证书时所提供的邮箱方法:在Internet Explorer中，依次点击“工具”中的“Internet选项”，选择“内容”选项卡中的“证书”，选中你的数字证书，点击“查看”，找到“详细信息”中的“主题”，就可以看到电子邮箱。

(3)此时可以看到签名标识已成功绑定你的数字证书。按照相同的方法，在加密首选项中把你的邮箱与证书绑定，以便使得对方能发送加密的邮件，如图4-16所示。

图4-16　完成邮箱与证书的绑定

(二)发送安全的签名电子邮件

当完成邮箱与数字证书的绑定后，你就可以发送安全的签名电子邮件了。

(1)打开Outlook Express，点击“新邮件”按钮，撰写新邮件。

(2)选取“工具”菜单中的数字签名，在新的右上角将会出现一个签名的图标，如图4-17所示。再次选取“工具”菜单中的数字签名，图标会消失，即取消发送签名邮件。

图4-17　发送签名的电子邮件

(3)单击“发送”按钮，签名邮件发送成功。

(4)当收件人收到并打开有数字签名的邮件时，将看到数字签名邮件的提示信息，如图4-18所示。

图4-18　签名邮件的提示信息

(5)单击“继续”按钮，才可阅读到该邮件的内容，如图4-19所示。若邮件在传输过程中被他人篡改或发信人的数字证书有问题，将出现“安全警告”提示。

图4-19　阅读带数字签名的邮件

(6)收到邮件后，我们可以看到，邮件的右边中间有一个小图标，点击它，可以看到相关数字证书信息，包括把发信人的数字证书添加到自己的通讯簿。

(三)发送安全的加密邮件

使用Outlook Express发送加密的电子邮件需要拥有对方的数字证书并将其导入系统。当你接收到对方给你发的带数字签名的邮件时，系统会自动将它的数字证书导入;如果你没有对方的数字证书，则可以到CA中心查询并下载对方的数字证书，然后，将对方数字证书导入系统便可以向对方发送加密的电子邮件。

1.获得对方的数字证书

①登录https://testca.netca.net/query/query.asp，在页面中填入对方的E-mail地址，单击“确认”按钮查询对方的数字证书，如图4-20所示。

图4-20　输入对方E-mail信息

②查询到结果后，单击“下载”按钮。在下载时请选择“在文件的当前位置打开”并确定，你的系统将自动执行对方的数字证书的安装过程，在此过程中，你可以看到有关证书的信息。

2.导入对方的数字证书

①在Outlook Express中单击“通讯簿”菜单项，弹出“通讯簿”窗口，点击“新建联系人”菜单项，又弹出“属性”窗口，选择“数字标识”选项卡。

②点击“导入”按钮，在相应的路径中选择对方的数字证书文件，此时对方的E-mail地址连同数字证书便加入了你的通讯簿。

③这时，你可以在Outlook Express的通讯簿中去查看，如果联系人具有数字证书，则他们的通讯簿卡片上将显示一根红色的飘带，如图4-21所示。

图4-21　通讯簿中有数字签名地址的显示

3.发送加密邮件

①撰写好信件后，在给对方发邮件的时候单击工具栏中的“加密”按钮就可以给对方发送加密邮件了，如图4-22所示。

图4-22　对邮件进行加密

②这时，邮件的右上角将会出现一个加密的标记，如图4-23所示。

图4-23　邮件被加密标记

③单击“发送”，则成功发送加密的邮件。

④当收件人收到并打开已加密过的邮件时，将看到“加密邮件”的提示信息，如图4-24所示。

图4-24　加密邮件的提示信息

⑤单击“继续”按钮后，可以查看该邮件的内容，如图4-25所示。

图4-25　阅读加密邮件

当收到加密邮件时，完全有理由确信该邮件没有被其他任何人阅读或篡改过，因为只有收件人自己的计算机上安装了正确的数字证书。Outlook Express能自动解密电子邮件;否则，邮件内容将无法显示。也就是说，只有收件人的数字证书中收藏了打开密锁的“钥匙”。

(四)数字证书的管理

网证通认证体系中，试用型证书管理包括挂失数字证书、取消挂失数字证书、挂失数字证书、下载CRL及增量CRL和修改密码等功能。

1.挂失数字证书

当用户申请的证书由于私钥泄密或其他原因引起不可信时，就要及时将证书挂失。

①访问https://testca.netca.net/submenu3.asp，单击“挂失数字证书”选项，进入挂失窗口，输入业务受理号和密码，如图4-26所示。

图4-26　挂失证书

②单击“确定”按钮，将显示挂失的数字证书信息。当确认无误后单击“挂失证书”按钮。证书挂失成功消息如图4-27所示。

图4-27　挂失证书成功

2.取消挂失数字证书

证书挂失类似于银行卡挂失，必要时可以取消挂失。

单击“取消挂失数字证书”选项，进入挂失证书窗口，输入证书业务受理号与密码，则显示挂失的证书消息。当确认无误后单击“取消挂失”按钮。当证书挂失后，在OCSP服务中显示的状态为“Good”。取消挂失成功消息如图4-28所示。

图4-28　取消挂失数字证书

3.报失数字证书

报失证书与挂失证书不同。报失证书即对证书进行撤销，CA自动将该证书作废。并通过维护证书作废列表(CRL)来完成上述功能。证书一经报失，则不可恢复。

①单击“报失数字证书”选项，进入报失窗口，输入证书业务受理号与密码，则显示报失的证书消息，如图4-29所示。

图4-29　报失数字证书

②当证书报失后，在OCSP服务中显示的状态为“Revoked”。当确认无误后单击“报失证书”按钮，正常情况下显示报失证书成功消息，如图4-30所示。

图4-30　报失证书成功

4.下载CRL

证书撤销列表(CRL)是X.509证书系统中现行公布的关于证书撤销问题的标准方案。CRL是一个包含所有被撤销证书(未过有效期)的序列号，并由认证机构CA签名的数据结构。CRL是一个被撤销证书的时间列表，该列表经过认证机构的数字签名，证书用户可以获取证书撤销列表。

单击“下载CRL及增量CRL”选项，进入“下载证书作废列表”窗口，选择下载“试用型个人数字证书废止列表”，将CRL文件直接打开或保存到本地计算机中。在CRL中可以看到刚才所报失的证书，如图4-31所示。

图4-31　查看CRL

5.修改密码

用户对证书的操作及管理都会使用到密码。为了保证用户密码的安全性，用户从邮件或是申请页面得到密码后，应及时修改密码。如图4-32所示。

图4-32　修改密码