采用个人和单位证书发送安全电子邮件.docVIP

个人电子邮件安全证书的应用情景分析一、基本概念 个人电子邮件安全证书是指个人用户收发电子邮件时采用证书机制保证安全所必须具备的证书。它是用来颁发给个人用户的，用户使用此证书在互联网上向对方表明邮件发送者的身份。 个人电子邮件安全证书中包含证书持有者的电子邮件地址、公钥及CA的签名。使用个人电子邮件安全证书的用户可以收发加密和数字签名邮件，保证用户在电子邮件传输中的机密性、完整性和不可抵赖性，确保电子邮件通信双方身份的真实性。 其密钥位长一般为512位，也可以是1024位。证书装载到浏览器或者邮件客户端中后，在配制邮件帐户的时候进行对应的证书选择，即可实现电子邮件数字签名和邮件加密（需要对方的证书公钥），也可作为浏览器与Web站点建立安全SSL连接的客户端证书。 当然，证书安全加密功能的实现决定于用户使用的浏览器是否支持相应功能。目前，Firefox和Internet Explorer等主流浏览器都支持相应功能。不过有一点需要说明的是，这些主流浏览器默认情况下仅信任各自收录的权威认证机构发布的数字证书，所以如果是组织自建的CA根认证中心，需要先在对应的浏览器上导入安装其根证书，这样用户在使用的过程中就完全同权威机构认证一样的感觉，安全性上也没有什么差别。 注意，这里讲的个人电子邮件安全证书是基于现在广泛应用的ssl/tls加密传输协议条件下的数字签名，不包括pgp签名和加密（大多在linux平台的通讯软件中使用支持）。 二、证书申请 用户到CA中心申请个人电子邮件安全证书的流程如下：???????? 1． 用户使用自己的浏览器登录CA中心证书申请网站页面，选择客户端证书申请，填写申请表格； 图1 在图1中单击左边红色文字处的链接，即出现右边的表单，其中姓名、组织、省市、国家代码以及电子邮件地址是必填的，而且不要填写错误，其他选项默认即可，然后提交。 ???????? 2． CA中心证书审核员对用户在线填写的信息进行审核，审核通过后为用户生成提取ID号，并以邮件的方式发送给用户；???????? 3．用户使用自己的浏览器登录CA中心证书申请网站页面，打开相应链接输入提取ID号，便可下载并安装证书。 图2 在图2中单击左边第二个红色文字链接处（Pick Up Client Certificate），即出现右边提示窗口，用户输入邮件中的提取ID号，单击提交即可，这时会出现下面图3： 图3 在图3中单击右边窗口中的“Accept Certificate”接受按钮，机会提示认证成功完成。 ??? 对于自建的CA根认证中心，接下来还需要将该CA根证书添加到浏览器的权威认证机构列表中。这有两种方法： 1、 直接单击图3中左边窗口的红色文字上面的“Accept This Authority In Your Browser”链接，此时在右边新的窗口中再单击链接按钮接受一下，会弹出一个保存CAOut.cer安全证书的窗口，单击保存，之后运行该证书，按引导依次默认设置完毕即可，大功告成。 2、 通过个人证书安装。在浏览器或者邮件客户端的设置项里面找到数字签名所在的选项卡，导出证书后再重新安装，依次默认设置完毕，最后一步问是否信任该根证书时选择“是”，这样就ok了。 三、个人电子邮件安全证书应用 在申请了安全电子邮件证书之后,我们可以在使用Outlook Express来发送安全电子邮件。Outlook Express是使用证书的主题中的 Email地址来标识证书的使用者的，数字签名使用邮件发送者的Email地址所对应的证书所对应的私钥进行,而邮件加密使用邮件接收者的 Email地址所对应的证书中的公钥来完成。 （一） 在OE客户端的安装（其他windows平台客户端类推）： 首先建立邮件发送者的帐号，点击Outlook工具-帐号， 再点击新建立帐号的属性的“安全”属性页，如图4所示，单击“选择”，在弹出的窗口中就有刚才安装到浏览器的证书，选择并确定即可。这里有两个“选择”，都要设置一下。 图4 注意：建立的帐号Email应与所申请证书中的Email地址相对应。 ??? 安装他人证书的一种方式是接收到对方签名的邮件后,系统自动将对方证书保存到本地。那么可以通过查看证书列表找到发件人的数字证书，查看之，对其进行签署即可。 再强调一下，添加接收者的证书的目的是用于给其发送加密邮件 （二） 在OE客户端的使用： 在安装了个人证书和下载了通信方证书并安装之后,就可以发送安全Email了。 图5 如图5所示，用户发送Email时，按需要点击“签名”或“加密”选项。 签名时使用的是自己的个人证书，加密时使用的是对方数字证书中的公钥。如果没有通信方证书就意味着只能发送自己的个人签名邮件，对方接受到你的邮件以后就可以向你发送加密邮件了