實際上，通過使用數(shù)字證書，這些損失是完全可以避免的。在招商銀行http://www.cmbchina.com申請專業(yè)個人銀行的時候，很多朋友都接觸了數(shù)字證書。作為一種比較成熟的安全產(chǎn)品，數(shù)字證書已經(jīng)發(fā)展到一個較高的技術水平，而且它將在我們將來的網(wǎng)絡生活中發(fā)揮越來越重要的作用。那么，數(shù)字證書能做什么呢？它和網(wǎng)絡安全到底有什么關系呢？如何使用數(shù)字證書來進行一些具體的操作呢？本文將通過詳細而生動的演示，讓讀者輕松擁有免費數(shù)字證書，同時，針對數(shù)字證書的具體應用如利用數(shù)字證書對郵件和word文檔的簽名、加密等，讓讀者對數(shù)字證書的操作有一個比較全面和直觀的認識。

　　一、揭開數(shù)字證書的神秘面紗

　　1. 什么是數(shù)字證書

　　數(shù)字證書稱為數(shù)字標識 （Digital Certificate ，Digital ID）。它提供了一種在 Internet 上身份驗證的方式，是用來標志和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件，與司機駕照或日常生活中的身份證相似。數(shù)字證書它是由一個由權威機構即CA機構，又稱為證書授權（Certificate Authority）中心發(fā)行的，人們可以在交往中用它來識別對方的身份。在網(wǎng)上進行電子商務活動時，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進行有關交易操作。通俗地講，數(shù)字證書就是個人或單位在 Internet上的身份證。

　　比較專業(yè)的數(shù)字證書定義是，數(shù)字證書是一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間，發(fā)證機關（證書授權中心）的名稱，該證書的序列號等信息，證書的格式遵循相關國際標準。有了數(shù)字證書，我們在網(wǎng)絡上就可以暢通無阻。如圖1是一個數(shù)字證書在網(wǎng)絡應用中的原理圖。

圖 1

　　為什么需要數(shù)字證書呢？如本文開頭所舉的例子，由于Internet網(wǎng)電子商務系統(tǒng)技術使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風險。買方和賣方都必須對于在因特網(wǎng)上進行的一切金融交易運作都是真實可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對的信心，因而網(wǎng)絡電子商務系統(tǒng)必須保證具有十分可靠的安全保密技術，也就是說，必須保證網(wǎng)絡安全的四大要素，即信息傳輸?shù)谋Ｃ苄�、�?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性、交易者身份的確定性。

　　通過使用免費數(shù)字證書，我們可以了解專業(yè)數(shù)字證書的相關技術。獲得免費數(shù)字證書的方法有很多，目前國內有很多CA中心提供試用型數(shù)字證書，其申請過程在網(wǎng)上即時完成，并可以免費使用。下面提供一個比較好的站點，申請地址為https://testca.netca.net/。登陸后，點擊“證書申請”，選擇“試用型個人數(shù)字證書申請”，特別強調，注意只有安裝了根證書（證書鏈）的計算機，才能完成后面的申請步驟和正常使用讀者在CA中心申請的數(shù)字證書。

　　按照提示，通過地址https://testca.netca.net/download/GetRootCertificateIndi.asp選擇“安裝試用CA證書鏈”。安裝成功出現(xiàn)提示框后，可以看到一個表單。

　　按照表單上的提示，輸入完整的個人資料。選擇加密服務提供程序（Cryptographic Service Provider，CSP），其中，CSP 負責創(chuàng)建密鑰、吊銷密鑰，以及使用密鑰執(zhí)行各種加、解密操作。每個 CSP 都提供了不同的實現(xiàn)方式。某些提供了更強大的加密算法，而另一些則包含硬件組件，例如智能 IC 卡或 USB 電子令牌。 當讀者使用特別的數(shù)字證書存儲介質（如：智能 IC 卡或 USB 電子令牌）存儲數(shù)字證書及其相應的私有密鑰時，可以在“加密服務提供程序（CSP）”下拉框中選擇該存儲介質生產(chǎn)廠商提供的CSP。我們可以選擇“Microsoft Base Cryptagraphic Provider V1.0”。

　　補充信息可以選填：有效證件類型，證件號碼，讀者的出生日期，讀者的性別， 讀者的住址，通信地址，通信所在地郵政編碼，聯(lián)系電話，傳真號碼，存儲介質等。然后點擊按鈕提交。

　　下載證書。進行上述步驟后，系統(tǒng)將發(fā)一封申請成功的信件到讀者申請時使用的郵箱內，其中包括業(yè)務受理號和密碼， 數(shù)字證書下載的地址。點擊數(shù)字證書下載地址，填寫業(yè)務受理號和密碼。

　　提交后，可以得到如圖2所示的信息。

圖 2

　　然后點擊下方的“安裝證書”按鈕，當系統(tǒng)提示“證書成功下載”和“證書已成功裝入應用程序中”后，表明讀者的證書已經(jīng)成功安裝。

　　3. 在IE中查看數(shù)字證書

　　現(xiàn)在很多讀者朋友可能要問了，數(shù)字證書在哪里呢？其實，微軟的IE瀏覽器自帶一個數(shù)字證書管理器，通過這個管理器我們可以查看數(shù)字證書。

　　首先在打開Internet Explorer，在Internet Explorer的菜單上，單擊 “工具”菜單中的 “Internet選項”。選取“內容”選項卡，點擊“證書”按鈕來查看讀者信任的當前證書的列表。

　　點擊“個人”選項卡可以查看讀者已經(jīng)申請的個人數(shù)字證書；下面是申請的免費數(shù)字證書，讀者朋友可以參考。如圖3所示。

圖 3

　　選定讀者要查看的個人數(shù)字證書，然后單擊 “查看” 按鈕，可以查看證書的詳細信息。如圖4是一個數(shù)字證書的詳細信息列表。

圖 4

　　下面就是在證書中所包含的元素的列表，讀者朋友可以根據(jù)自己的體會進行理解。

　　版本：它用來區(qū)別X.509的各種連續(xù)的版本。默認值是1988版本。
　　序列號：序列號是一個整數(shù)值，在發(fā)行的證書頒發(fā)機構中是唯一的。序列號與證書有明確聯(lián)系，就像身份證號碼和公民日常登記有明確聯(lián)系一樣。
　　算法識別符：算法識別符識別證書頒發(fā)機構用來簽署證書的算法。證書頒發(fā)機構使用它的私鑰對每個證書進行簽名。
　　發(fā)行者或證書頒發(fā)機構：證書頒發(fā)機構是創(chuàng)建這個證書的機構。
　　有效期：提供證書有效的起止日期，類似于信用卡的期限。
　　主體：證書對他的身份進行驗證。
　　公鑰信息：為證書識別的主體提供公鑰和算法識別符。
　　簽名：證書簽名覆蓋了證書的所有其他字段。簽名是其他字段的哈希代碼，使用證書頒發(fā)機構的私鑰進行加密，保證整個證書中信息的完整性。如果有人使用了證書頒發(fā)機構的公鑰來解密這個哈希代碼，同時計算了證書的哈希代碼，而兩者并不相同，那么證書的某一部分就肯定被非法更改了。

　　有了數(shù)字證書以后，我們可以進行發(fā)送安全的電子郵件，實現(xiàn)網(wǎng)上郵件的加密和簽名電子郵件，它還可以應用于公眾網(wǎng)絡上的商務活動和行政作業(yè)活動，應用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè)，如訪問安全站點、網(wǎng)上招標投標、網(wǎng)上簽約、網(wǎng)上訂購、安全網(wǎng)上公文傳送、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上繳稅、網(wǎng)上購物等網(wǎng)上的安全電子事務處理和安全電子交易活動等。隨著電子商務和電子政務的不斷發(fā)展，數(shù)字證書的頒發(fā)機構CA中心將作為一種基礎設施為電子商務的發(fā)展提供可靠的保障。所以，網(wǎng)絡發(fā)展的越快，人們對網(wǎng)絡安全的要求也越來越高，了解數(shù)字證書并學會一些數(shù)字證書的操作將有利于我們更加安全的在網(wǎng)上沖浪。

　　安全電子郵件證書中包含證書持有者的電子郵件地址、公鑰及CA中心的簽名。使用安全電子郵件證書可以收發(fā)加密和數(shù)字簽名郵件，保證電子郵件傳輸中的機密性、完整性和不可否認性，確保電子郵件通信各方身份的真實性。證書可以存貯在硬盤、USB中。安全電子郵件利用公鑰算法保證你的簽名郵件不會被篡改，而你的加密郵件除了郵件接收者以外(甚至你自己)的任何人無法閱讀其中的內容。需要注意的是，證書中的郵件地址必須同綁定的郵件帳號一致。這樣就可以對自己的郵件簽名和加密了。

　　下面，通過一個存儲在硬盤中的數(shù)字證書進行相關操作的演示。

　　1. 在Outlook Express中設定郵件

　　首先，打開Outlook Express，然后選擇菜單中的“工具”菜單中的“帳戶”選項，出現(xiàn)“Internet帳戶”對話框，我們點擊右邊的“添加”按鈕，選擇“郵件”選項，如圖5所示。

圖 5

　　輸入讀者的郵件顯示姓名，如“彭文波”；點擊“下一步” ，輸入讀者的電子郵件地址（如pwb2000@163.net）；點擊“下一步” ，系統(tǒng)讓讀者分別輸入接收郵件服務器和發(fā)送郵件服務器的域名或IP地址，如本例為：163.net，smtp.163.net；關于163的郵件設置，我們可以參考www.163.net 的站點郵件設置幫助文件。如圖6所示。

圖 6

　　繼續(xù)點擊“下一步”，系統(tǒng)讓讀者輸入登錄到郵箱的賬號和密碼，如果是163帳戶，建議讀者勾選“使用安全密碼驗證”。繼續(xù)點擊 “下一步”，可以看到成功設置了一個新的帳戶。

　　2. Outlook Express中設置郵箱與數(shù)字證書的綁定

　　在Outlook Express6.0單擊菜單中的“工具”，選擇“賬號”，選取“郵件” 選項卡中的用于發(fā)送安全電子郵件的郵件賬號，即剛才建立的賬號“彭文波”，然后單擊“屬性”。如圖7所示。

圖 7

　　選擇上面的“安全”標簽，可以看到 “簽署證書”和“加密首選項”兩欄。通過相關設置，我們可以進行郵件的簽署和加密。如圖8所示。

圖 8

　　繼續(xù)上圖的設置，我們在“簽名證書”項后，點擊“選擇”按鈕�？梢钥吹轿覀冊趆ttps://testca.netca.net/上面申請的證書。選擇讀者的數(shù)字證書，點擊“確定”完成郵箱與證書的綁定，讀者也可以點擊“查看證書”，了解自己證書的詳細信息。

　　注意：如果點擊“選擇”按鈕，沒有相關的證書彈出來，請確認讀者的證書已經(jīng)正確安裝且沒有過期。同時要確認讀者在Outlook Express中所設置的郵箱與讀者在申請數(shù)字證書時所提供的郵箱一致。查看讀者在申請數(shù)字證書時所提供的郵箱方法：在Internet Explorer中，依次點擊“工具”中的“Internet選項”，選擇“內容”選項卡中的“證書”，選中讀者的數(shù)字證書，點擊“查看”，找到“詳細信息”中的“主題”，讀者就可以看到郵箱。

　　按照同樣的方法，讀者也可以在“加密首選項”中把讀者自己的證書選中。如圖9所示。

圖 9

　　點擊確定。就可以準備發(fā)送加密電子郵件了。

　　發(fā)送加密郵件前必須先獲得接收方的數(shù)字標識，讀者可以首先讓接收方給讀者發(fā)一份簽名郵件來獲取對方的數(shù)字標識或者直接到電子商務安全認證中心的的網(wǎng)站如http://www.cnca.net的站點上面去查詢下載來獲取對方的數(shù)字標識

　　我們啟動Outlook Express6.0，點擊“新郵件”，撰寫新郵件。同時我們選中右上方的“簽名”或者“加密”選項。如圖10所示。

圖 10

　　發(fā)送簽名電子郵件

　　點擊“發(fā)送”，簽名郵件發(fā)送成功。當收件人收到并打開有數(shù)字簽名的郵件時，將看到 數(shù)字簽名郵件 的提示信息，按“繼續(xù)”按鈕后，才可閱讀到該郵件的內容。如圖11所示。

圖 11

　　接收簽名電子郵件

　　若郵件在傳輸過程中被他人篡改或發(fā)信人的數(shù)字證書有問題，將出現(xiàn)“安全警告”提示。收到郵件后，我們可以看到，郵件的右邊中間有一個小圖標，點擊它，可以看到相關的數(shù)字證書信息，包括把查看他的相關信息、把發(fā)信人的數(shù)字證書添加到自己的通訊簿。如圖12所示。

圖 12

　　發(fā)送加密郵件的方法與發(fā)送簽名郵件的方法類似，收取電子郵件實際上就是一個解密的過程，算法已經(jīng)隱藏在后臺運行了。通過這些具體的操作，我們對加密和解密也有了更加深刻的認識。

　　由于Windows NT系統(tǒng)的容易維護，很多單位或者ISP都采用它，大部分是做WEB服務器使用。雖然IIS存在很多新的漏洞和安全問題，但只要我們做好合理的安全配置，還是可以避免很多安全隱患的。因此，本文選擇IIS服務器來測試數(shù)字證書。

　　1. http與https的相關知識

　　簡單的說默認情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的，所有的消息全部都是以明文形式在網(wǎng)絡上傳送的，惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務器之間的通訊內容。這點危害在一些企業(yè)內部網(wǎng)絡中尤其比較大，對于使用HUB的企業(yè)內網(wǎng)來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網(wǎng)絡中的活動，對于使用交換機來組網(wǎng)的網(wǎng)絡來說雖然安全威脅性要小很多，但很多時候還是會有安全突破口，比如沒有更改交換機的默認用戶和口令，被人上去把自己的網(wǎng)絡接口設置為偵聽口，依然可以監(jiān)視整個網(wǎng)絡的所有活動。

　　除了匿名訪問、基本驗證和Windows NT請求/響應方式外，還有一種安全性更高的認證，就是通過SSL（Security Socket Layer）安全機制使用數(shù)字證書。建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https://，而不是http://。SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應的私人密鑰。使用SSL安全機制時，首先客戶端與服務器建立連接，服務器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網(wǎng)絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器端就建立了一個惟一的安全通道。

　　2. 申請服務器證書

　　首先，在Windows2000中打開Internet信息服務管理器，然后打開要為之申請證書的站點的屬性。以筆者的機器為例，選擇“默認web站點”，點擊右鍵，在彈出的菜單中選擇“屬性”，出現(xiàn)屬性對話框。找到“目錄安全性”對話框。如果以前從未用過這項，“編輯”顯示為灰色。如圖13所示。

圖 13

　　選擇“服務器證書”按鈕，根據(jù)服務器證書的狀態(tài)，選擇“下一步”。在出現(xiàn)的選項中，選擇“創(chuàng)建一個新證書”�，F(xiàn)在可以準備證書請求了。點擊“下一步”。在這一步，要選擇私鑰的長度，建議選能力范圍內能選的最大值。如圖14所示。

圖 14

　　如果我們已經(jīng)產(chǎn)生了一對密鑰。私鑰將存儲在機器上。這些信息將顯示在證書上，并將說明這個密鑰的所有者。接著輸入組織信息和公鑰信息。然后輸入公用名稱。注意“公用名稱”是用來區(qū)分不同證書的最好方法。在SSL服務器證書的情況下，一般輸入主機的域名，比如www.cndes.net即可。如圖15所示。

圖 15

　　接著輸入地理信息。選擇存儲證書請求的文件，選擇一個容易找到的位置，用寫字板打開這個文件，拷貝并粘貼在我們的申請頁面的“證書請求”一欄中。 一旦請求被提交，將不再需要這個文件。最后產(chǎn)生申請的摘要信息，點擊“下一步”，完成申請步驟。如圖16所示。

圖 16

　　當證書請求產(chǎn)生之后，會被保存為一個使用默認文件名（如certreq.txt）或您指定文件名的文本文件，存儲在服務器的硬盤上。使用 NotePad 或其他 ASCII 文本編輯器打開證書請求文件，可以查看證書請求的內容。注意，不能用Word或其他文字處理軟件打開證書請求文件，因為這些軟件會在證書請求文件中插入格式控制符。

　　獲得服務器證書的方法和本文中獲得個人數(shù)字證書的方法有點類似。需要注意的是，要保存好剛才的申請文件，在申請的過程中需要使用到這個文件，而且這個文件只能使用一次，而且在申請的時候一定要把證書請求復制到文本框，具體可以登陸https://testca.netca.net/apply_srv/srv_root.asp這個站點按照上面的提示進行，最后應該下載到一個后綴名為.cer的服務器證書文件。本例中，根據(jù)產(chǎn)生的受理號和密碼，可以下載一個server.cer文件。

　　安裝證書的時候，在Windows2000中打開Internet信息服務管理器，然后打開要為之申請證書的站點的屬性。還是選擇“目錄安全性”，選擇“服務器證書”，現(xiàn)在我們發(fā)現(xiàn)，服務器已經(jīng)掛起了一個證書請求。根據(jù)證書向導，處理掛起的請求并安裝證書。如圖17所示。

圖 17

　　點擊“下一步”，輸入剛才申請到的server.cer文件的路徑和名稱。繼續(xù)“下一步”，可以得到摘要信息。如圖18所示。

圖 18

　　單擊“下一步”，完成服務器證書的安裝。

　　4. 服務器證書的設置和服務器的訪問

　　在Windows2000中打開Internet信息服務管理器，然后打開要為之申請證書的站點的屬性。選擇“目錄安全性”，選擇“服務器證書”，我們發(fā)現(xiàn)，現(xiàn)在下方的三個按鈕都能夠使用了。如圖19所示。

圖 19

　　選擇“編輯”按鈕，就可以對訪問用戶進行控制了。如圖20所示。

圖 20

　　看到這里，讀者朋友應該可以明白為什么我們可以訪問https://www.cnca.net的原因了吧。事實上，國內商家的網(wǎng)上交易很多就是在這個安全隧道里面進行的。有了這個安全保證，我們就可以在網(wǎng)上放心的購物了。

　　當你在店鋪里購買軟件時，軟件的來源很清楚，你可以分辨軟件的提供商；同時，憑借軟件的封裝，你可以看到軟件有沒有被拆封過。籍此，人們可以決定對軟件的信任程度。但是，當軟件放到了Internet上，你在下載時，還能有足夠的信心嗎？在計算機病毒橫行的今天，也許，你正在下載的殺毒軟件恰是一個病毒程序，這樣的事情一點也不奇怪，那么，我們在網(wǎng)上怎么信任那些exe文件呢？

　　任何軟件提供商要想通過網(wǎng)絡來發(fā)布代碼或程序，都會面臨著軟件被仿冒和篡改的風險。通過數(shù)字證書使用代碼簽名技術就可以有效地防范這些風險。代碼簽名證書是CA中心簽發(fā)給軟件提供商的數(shù)字證書，包含軟件提供商的身份信息、公鑰及簽名。軟件提供商使用代碼簽名證書對軟件進行簽名后放到Internet上，當用戶在Internet上下載該軟件時，將會得到提示，從而可以確信軟件的來源和軟件自簽名后到下載前沒有遭到修改或破壞。

　　對于用戶來說，使用代碼簽名證書可以清楚了解軟件的來源和可靠性，增強了用戶使用Internet獲取軟件的決心。萬一用戶下載的是有害軟件，也可以根據(jù)證書追蹤到軟件的來源。對于軟件提供商來說，使用代碼簽名證書，其軟件產(chǎn)品更難以被仿造和篡改，增強了軟件提供商與用戶間的信任度和軟件商的信譽。

　　如果你編寫一個ActiveX 控件并放在網(wǎng)頁中，別人通過Internet下載時通常會出現(xiàn)一個安全警告，提示代碼沒有簽名。在你的Certificate Server安裝目錄下找到xenroll.cab，并查看其屬性，你會發(fā)現(xiàn)多了一欄數(shù)字簽名，這里你可以查看簽名驗證情況以及相關證書。要給自己的程序簽名其實也很簡單，Microsoft有一個Authenticode工具專名用來給代碼簽名，你可以從Microsoft站點下載到，里面有許多工具，但通常你只要用到signcode.exe就夠了。首先你需要有一個代碼簽名證書，然后使用signcode.exe使用過程很方便，基本是wizard方式的，在提示選擇使用的簽名證書時按“從存儲器選擇”按鈕選擇簽名證書。你可以選擇將所以證書放入簽名，也可以不將根證書放入簽名，建議不要將根證書放入簽名，還是應讓用戶從你的站點下載根證書，因為帶根證書的簽名是沒有意義的，雖然這會給用戶帶來一些麻煩(他需要先安裝根證書才能正確驗證你的簽名)。在提示加入時間戳時選擇不加入時間戳。完成簽名后你可以從文件屬性驗證其簽名和證書。

　　時間戳的作用在于證明某一段數(shù)據(jù)在該時間的存在性。比如你有一個重大發(fā)現(xiàn)，希望用它來爭取諾貝爾獎，你用Word編寫你的論文，但是為了證明你是第一個發(fā)現(xiàn)者，你需要證明你寫論文的時間，由于文件的時間可任意修改，不能作為證明，所以你需要有一個時間戳，你通過某個Hash算法計算出你的Word文件的摘要并發(fā)送給一個權威的時間戳簽名服務商(DTS)，DTS對摘要和簽發(fā)時間進行簽名形成時間戳發(fā)還給你，你將文件時間戳合并，作為將來證明你撰寫論文時間的依據(jù)。時間戳服務需要很高的權威性，所以對私鑰存儲，時間來源都有很高的要求。目前這方面應用不多，好象Office 2000似乎支持時間戳功能。

　　無論是SSL也好，安全電子郵件也好，代碼簽名也好都是Netscape最先提出和使用的，在Netscape中使用這些技術，方法都很相似(Microsoft學的還真象)，所以這里不再多說了。IE5.0以后，Microsoft的這些技術和產(chǎn)品已經(jīng)比較成熟，在功能上部分超越了Netscape，但Netscape畢竟是原創(chuàng)，在這方面的文檔資料比較全面，討論組和郵件列表也比較多，所以在技術支持方面會比較好一點。目前，代碼簽名證書可以對32-bit .exe、.cab、.ocx、.class等程序和文件進行簽名。

　　數(shù)字證書在網(wǎng)絡安全中的使用還有很多，比如軟件的版權簽名、通過專門的數(shù)字簽名軟件給文檔蓋“公章”、進行網(wǎng)絡站點的安全訪問等，掌握這些知識將對我們今后的學習和工作產(chǎn)生很大的影響。毫無疑問，這將逐漸成為一種網(wǎng)絡安全趨勢，沒有這些身份認證，我們在網(wǎng)絡上將寸步難行，讀者朋友可以在今后的學習和使用中多多體會。