项目三--CA认证与电子商务安全.ppt

1、【能力目标】,能选择不同的CA中心申请并下载数字证书。能熟练进行数字证书的导出、导入、查询、备份、删除操作。使用Outlook Express或Winwebmail软件配置邮件的数字证书。能收发数字签名和加密的电子邮件。,【知识目标】,掌握数据加密、数字摘要、数字证书等概念。了解CA的特征和主要职能。了解数字证书的功能及应用分类。掌握电子邮件应用数字证书的流程。,【素质目标】,养成正确的设备使用习惯。培养认真细心的工作态度。培养较强的互联网法律与道德意识。培养良好的团队协作意识。,【体验】数字证书的申请与管理,甲乙两家企业之间欲进行电子商务活动，若你是其中某家企业的业务员，为了保障电子商务活动

2、的安全，企业要求你熟练掌握当今电子商务中用来建立安全通道的重要工具数字证书的运用，你首先要掌握数字证书的申请、安装、导出、导入操作。,【体验步骤】,学生分成两人一组，分别扮演甲乙两家企业的业务员，共同商定向某家认证中心申请证书。如天威诚信的试用证书。同时由于两家要进行网上通信，为了能达到数字签名和加密的目标，应商定申请邮件证书或具有安全邮件功能的企业证书。一、申请“安全电子邮件证书” 在申请数字证书前，先选择确定一个合适的电子邮箱，该要求邮箱支持客户端邮件收发功能。,1、登录北京天威诚信电子商务服务有限公司网站http:/ http:/） 如下图所示,2、点击“服务与支持”选择“证书试用”。,

3、3、在“证书试用”中选择“”邮件证书“试用，并点击链接进入。,4、选择“申请用户证书”。,5、填入各项信息。,6、输入用户口令：这个唯一的验证口令保护您的证书，避免没有被授权的操作，它不能与其他人共享。谨记不要丢失！在证书下载和注销时需要它。,7、选择接受协议并点击“确定”。,8、核对邮件地址，正确的话点击“确定”。,9、点击“是”安装根证书。,10、提示证书申请、下载成功。,二、查看所下载的个人证书及根证书信息 1、打开IE浏览器，并点击“工具”“ Internet选项”。,2、继续点击“内容”“证书”。,3、单击“个人”选项卡。,4、选择相应证书，点击“查看”，了解证书相关信息。,5、然后

4、点击“受信任的根目录颁发机构”，滚动查找“intruschina CN Root ca-1”根证书，点击“查看”了解相关信息。,三、证书导出及保存,提示：为防数字证书丢失，或在多机上安装使用，数字证书必须带私钥导出并保存到安全地点。,1、打开IE浏览器，并点击“工具”“ Internet选项”。,2、点击“内容”“证书” “个人”，“导出”。,3、选择“是，导出私钥”。,4、点击“下一步”。,5、键入密码（此密码用于安装导入时身份验证，必须牢记）。,6、确定导出的数字证书存放地点及文件名。,7、点击“完成”，完成数字证书导出及保存，保存地点必须安全可靠，以备下次使用。,8、重复上述步骤将根证书

5、导出并保存到安全地点。,四、证书导入及安装,1、如果在某一台计算机中没有安装自己的个人数字证书，则应进行导入安装操作。进入证书查找界面，单击“导入”按钮，出现“证书导入向导”。,2、单击“下一步”按钮单击“浏览”按钮确定带私钥证书保存的路径，找到证书文件打开。,3、单击“下一步”按钮键入保护私钥的密码。,4、单击“下一步”按钮选择证书存储区域。,5、单击“下一步”按钮提示成功地完成证书导入向导，单击“完成”按钮提示证书导入成功，按“确定”按钮。证书成功导入。,【任务一】 电子商务交易安全,在电子商务广泛应用的同时，安全性越来越受到人们的关注。统计表明，人们对网络交易特别是网络支付的安全顾虑，已

6、经成为阻碍电子商务发展的重要因素。客户、商家、银行等诸多电子商务参与者都会担心自己的利益能否得到真正的保障，只有保证的电子商务的安全交易，才能吸引更多人投身于电子商务，使电子商务更有序快速的发展。本任务要求学生了解国内主要的认证中心，并选择其中一个认证中心为自己申请安装“个人安全电子邮件试用证书”。完成本任务，需要学生掌握数字证书、数据加密、数字签名等相关知识点。,【知识点】,一、电子商务安全隐患的主要表现1信息截获和窃取。2信息篡改。3信息假冒。4交易抵赖。,二、电子商务交易安全要求,一个安全的电子商务交易系统，必须满足如下几个条件。 1信息的保密性 2信息的完整性 3信息的有效性 4信息的

7、不可否认性 5交易者身份的真实性,三、数据加密技术,数据加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。将一个信息（或称明文）经过加密钥匙及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文，加密系统结构如图1所示。数据加密技术分为两类，即对称加密和非对称加密。（1）对称加密（私钥加密）。 （2）非对称加密(公钥加密)。,四、 数字签名技术,“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种数据安全技术。常见的包括：数字摘要、数字签名和数字时间戳等。1）数字摘要（digital digest）也称为安全

8、Hash(散列)编码法（Secure Hash Algorithm,SHA）或MD5，由Ron Rivest所设计。2）数字签名并非用“手写签名”类型的图形标志，它采用了双重加密的方法，即用SHA加密和RSA加密的方法来实现防伪造、防抵赖。3）数字时间戳（Digital Time stamp Service,DTS）服务是网上安全服务项目，由专门的机构提供。数字时间戳服务能提供电子文件发表时间的安全保护，主要是防止交易文件被伪造和篡改。,数字摘要的使用过程对原文使用Hash算法得到信息摘要； 将信息摘要与原文一起发送； 接收方将收到的原文应用单向Hash函数产生一个新的信息摘要； 将新的信息摘

9、要与发送方发来的信息摘要进行比较，若两者相同则表明原文在传输中没有被修改，否则就说明原文被修改过。,数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。,数字签名和验证的具体步骤如下： 报文的发送方从原文中生成一个数字摘要，再用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。 发送方将数字签名作为附件与原文一起发送给接收方。 接收方用发送方的公钥对已收到的加密数字摘要进行解密； 接收方对收到的原文用Hash算法得到接收方的数字摘要； 将解密后的发送方数字摘要与接收方数字摘要进行对比。如果两者相同，则说明信息完整且发

10、送者身份是真实的，否则说明信息被修改或不是该发送方发送的。 由于发送方的私钥是由自己管理使用的，其他人无法仿冒使用，一旦发送方用自己的私钥加密发送了信息也不能否认，所以数字签名解决了电子商务信息的完整性鉴别和不可否认性（抵赖性）问题。,数字签名与加密过程密钥对使用差别数字签名使用的是发送方的密钥对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性；公开密钥加密解密过程使用的是接收方的密钥对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多对一的关系，表明任何拥有该公司公钥的人都可以向该公司

11、发送密文，但只有该公司才能解密，其他人不能解密；,数字时间戳产生的过程 用户首先将需要时间戳的文件用Hash算法加密得到数字摘要； 然后将数字摘要发送到专门提供数字时间戳服务的DTS机构； DTS机构在原数字摘要上加上收到文件摘要的时间信息，用Hash算法加密得到新的数字摘要； DTS机构用自己的私钥对新的数字摘要进行加密，产生数字时间戳发还给用户； 用户可以将收到的数字时间戳发送给自己的商业伙伴以证明信息的发送时间。 （三部分组成：1、需加时间戳的文件摘要；2、DTS收到文件的日期和时间；3、DTS的数字签名。）,五、数字证书的概念与内容,数字证书就是网络通讯中标志通讯各方身份信息的一系列数

12、据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证.它是由一个由权威机构-CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在交往中用它来识别对方的身份。一个标准的X.509数字证书包含以下一些内容： 1。证书的版本信息；2.证书的序列号，每个证书都有一个唯一的证书序列号； 3.证书所使用的签名算法；4.证书的发行机构名称，命名规则一般采用X.500格式；5.证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；6.证书所有人的名称，命名规则一般采用X.500格式；7.证书所

13、有人的公开密钥；8.证书发行者对证书的签名,六、 数字证书的特征与CA中心职能,1.信息的保密性。2.交易者身份的确定性。3.不可否认性。4.不可修改性。,（二）数字证书的类型,数字证书的类型有很多，如有个人证书和机构证书；电子邮件数字证书、时间戳数字证书等。具体详细信息可以查阅：http:/的用户手册。 数字证书认证中心（Certficate Authority,CA）就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 认证

14、中心主要有以下几种功能：(1) 证书的颁发(2)证书的更新(3)证书的查询 (4)证书的作废 (5)证书的归档,（三） 国内主要认证中心,北京数字证书认证中心： http:/ 深圳市电子商务认证中心：http:/ 广东省电子商务认证中心：http:/ 海南省电子商务认证中心：http:/ 湖北省电子商务认证中心：http:/ 上海电子商务安全证书管理中心：http:/ 中国数字认证网：http:/ 山西省电子商务安全认证中心：http:/ 中国金融认证中心：http:/ 天津电子商务运作中心：http:/ 天威诚信CA认证中心：http:/,【教学活动1】,1、通过搜索国内认证机构网站，了解其

15、功能、作用及所提供的业务。 2、两人一组，商定在除“天威诚信”以外的其他认证中心为自己申请“个人安全电子邮件试用证书”。,【活动实施】,1、浏览“中国协卡认证体系”主站点上海市电子商务安全证书管理中心有限公司。 网址： http:/ 2、浏览“网证通电子认证体系”主网站广东省电子商务认证中心 。 网址：http:/ 3、浏览山西省电子商务安全认证中心有限公司网站。 网址：http:/ 4、浏览海南省电子商务认证中心网站。 网址：http:/ 5、浏览重庆数字证书认证中心网站。 网址：http:/ 6、登录商定的电子商务认证中心网站，根据提示申请数字证书。 7、将数字证书安装入计算机中。 8、查

16、看证书的有效性。 9、将证书带私钥导出保存到安全地点。 10、删除前面所安装的数字证书。 11、将导出保存的证书导入到计算机中，并查看属性是否正常。,【任务二】 数字证书配置与使用,在前一任务所申请的数字证书的基础上，甲乙双方企业的业务员分别要收发采用数字签名和加密措施的电子邮件，这就要求安装数字证书。因此，若本机上没有安装，应将上个任务中的数字证书导入到本机中，同时收发安全电子邮件应在邮件客户端进行，所以要对邮件客户端进行设置，最常用的是OUTLOOK EXPRESS。在完成此任务前，学生需要了解安全电子邮件的工作方式、电子邮件数字证书的配置与使用及安全交易协议等相关知识点。,【知识点】,一

17、、 安全电子邮件的工作方式 第一种情况是采用个人或单位证书发送安全电子邮件。如吉林省数字证书认证中心、广东省数字证书认证中心等就颁发个人证书或单位证书，然后你可以选择用这两种证书发送安全的电子邮件。 第二种方式是直接给电子信箱的所有人或单位的电子信箱地址颁发数字证书，如江西省数字证书认证中心、安徽省数字认证中心等就颁发专门的邮件证书。 由于以上两种方式的原理基本一样，考虑到网上的免费资源，我们以第一种方式为主加以说明。 当然，在第一种方式中使用单位证书发送安全邮件的原理基本一样，由于网上单位证书的免费资源很少，因此，我们重点以个人证书为例。另外，要发送安全电子邮件，必须使用一些电子邮件客户端软

18、件，如Outlook Express、Foxmail等，打开网页收发邮件是不能进行数字签名的，我们这里以Outlook Express 5.0为例，说明安全电子邮件的发送过程。 要使用安全电子邮件，每个用户首先需要到认证中心申请证明自己身份的数值证书，用于邮件的签名和签名验证，以及邮件的加解密。,二、电子邮件数字证书配置与使用,1签名邮件设置 （1）启动Outlook Express后，选择“工具”菜单中的“账户”命令，单击弹出窗口中的“邮件”标签切换到邮件账户列表，选择用户将要用于发送签名电子邮件的账户，该账户所对应的邮件地址和用户申请证书时所填的Email 地址要完全一致，然后单击“属性”

19、 （2）在出现的电子邮件账户的“属性”对话框，单击“安全”选项卡，出现如图所示的邮件账户安全属性设置页面，单击“签署证书”栏的“选择（S）”按钮，选择签名数字证书；单击“加密首选项”栏的“选择（L）”按钮，选择加密证书和算法。 （3）单击“确定”，关闭安全属性设置窗口。此时，用户已经在Outlook Express 中设置好自己Email 的签署证书，可以发送签名邮件和接收加密邮件了。,2加密邮件的设置 如果要给某人发送加密邮件，必须要有收件人加密数字证书的公钥，并且该数字证书必须与通讯簿中的名称相关联。在用户接收带有数字签名的邮件的时候，Outlook Express 自动将发件人的数字证书

20、添加到通讯簿中，如果用户已关闭此选项，则需要手动添加联系人的数字证书，方法如下： （1）打开带有数字签名的邮件； （2）在“文件”菜单上，单击“属性”，再单击“安全”选项卡，在出现的界面上单击“查看证书”按钮； （3）在出现的如下图所示“查看证书”界面，单击“签署证书”按钮，可以查看签署此邮件的证书；单击“发件人证书”按钮，可以查看发件人要使用的邮件加密证书；单击“添加到通讯簿”按钮，可以将发件人的数字证书添加到通讯簿中。 查看证书（4）在发件人的数字证书添加到通讯簿后，就可以在通讯簿的姓名的前面看到一个红色的飘带，此时，用户可以给发件人发送加密邮件了。,3发送签名邮件 单击“新邮件”按钮，在

21、出现的窗口撰写新邮件，输入用户要发送签名邮件的收件人电子邮件地址以后，单击工具栏的“签名”按钮，再单击“发送”。至此，用户已经成功发送数字签名邮件。 需要注意的是，在发送签名邮件之前，用户必须在Outlook Express 中设置好自己的Email 证书。 4接收签名邮件 打开Outlook Express，如果用户收到一封带有发件人数字签名的新邮件，则系统会出现提示信息；如果安装了发件人的公钥，则单击“继续”系统会自动对邮件解密，用户便可以阅读到带有签名的邮件。,5发送加密邮件 单击“新邮件”按钮，在出现的窗口撰写新邮件，输入用户要发送加密邮件的收件人电子邮件地址以后，单击工具栏的“加密”

22、按钮，再单击“发送”。至此，用户已经成功发送加密邮件。 需要注意的是，在发送加密邮件之前，必须将收件人的数字证书添加到通讯录中。 6接收加密邮件 打开Outlook Express，如果用户收到一封加密的新邮件，则系统会出现提示信息；如果安装了发件人的公钥，则单击“继续”系统会自动对邮件解密，用户便可以阅读到加密的邮件内容。,三、 电子商务安全交易协议,电子商务安全交易协议分：1、SSL安全协议SSL安全协议主要提供三方面的服务： (1)用户和服务器的合法性认证(2)加密数据以隐藏被传送的数据 (3)保护数据的完整性 2、SET安全协议,3、SET和SSL协议的区别SSL协议运行的基点是商家对

23、客户信息保密的承诺。但在上述流程中我们也可以注意到，SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传至（银行，这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但整个过程中，缺少了客户对商家的认证。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL协议的缺点完全暴露出来。SSL协议将逐渐被新的电子商务协议（例如SET）所取代。,【活动实施】,1、必须将上次申请到并保存起来的根证书、个人数字证书安装入（导入）本台计算机中。若已丢失，则重新申请、下载并安

24、装根证书、个人证书。 2、在Outlook Express中单击菜单上的“工具”“ 帐号”,3、点击“添加”“ 邮件”。,4、逐步完成连接向导，输入姓名。,5、输入邮件地址，注意：必须是与数字证书申请时使用的邮件地址一致。,6、输入邮件收发服务器名称，注意：不同的邮箱系统有不同的名称，具体以查询本人邮箱的为准。,7、输入邮箱登录密码并并记住，此处可输或不输。,8、在 Outlook Express 中，继续单击“工具” 菜单中的“帐号”，进行帐号设置。,9、选取“邮件”选项卡中用于发送安全邮件的邮件帐号，然后单击“属性”。,10、选择“服务器”，设置“我的服务器要求验证”。,11、选择“高级”

25、中“在服务器中保留副本”。,12、选取 安全 选项卡中的 签名标识，然后单击 选择 按健，选择相应证书。,13、继续为“加密首选项”，选择相应证书。,14、设置完成后，单击Outlook Express 窗口中的“新邮件”按钮，撰写新邮件内容，填写好收件人邮箱地址和邮件主题。选取“工具”菜单中的“数字签名”项或工具条上的“签名”按钮，在邮件收件人的右侧会出现一个红色的“签名”标牌。然后点击新邮件窗口左边的“发送”按钮。发出带签名的电子邮件。,15、当收件人收到并打开有数字签名的邮件时，将看到“数字签名邮件”的提示信息（用户可以设置下次不提示该信息），按“继续”按钮后，才可阅读到该邮件的内容。若

26、邮件在传输过程中被他人篡改或发信人的数字证书有问题，页面将出现“安全警告”提示。,16、要发送加密电子邮件，需要有收件人的数字证书。获得收件人数字证书的方法可以是让对方给你发送带有其数字签名的邮件。将该邮件打开后，会在右边看到对方的证书标志,17、单击该标识，找到“安全”项，单击“查看证书”按钮，可以查看“发件人证书”。,18、单击“添加到通讯簿”按钮，在通讯簿中保存发件人的加密首选项，把对方数字证书就被添加到通讯簿中。,19、在Outlook Express 中撰写新邮件或者回复已经收到的邮件，写好邮件内容后，选取“工具”菜单中的“加密”项或单击工具栏上的“加密”按钮，邮件的右侧将会出现一个

27、蓝色的锁型加密标识。该邮件也可以同时使用发件人的数字签名。,【教学活动3】服务器数字证书安装与使用,开始本教学活动前，首先要安装并配置好IIS10.0，并建立好网站。我们这里假设网站主目录在d:www800119，网页首页文件名为default.htm。 开始程序管理工具Internet 服务管理器，在默认WEB站点上单击右键，选择属性，单击主目录，将主目录改为d:www800119，其他配置不动，点击确定退出。 为了测试服务器有没有配置成功，有以下三种方法： 在浏览器地址栏中，输入： localhost IP地址 eb(本机名，不同的服务器会有所不同) 如果设置正确，则可以顺利打开网站。,【

28、活动实施】 1生成WEB服务器证书申请请求文件（CSR）,1）依次点击：开始程序管理工具Internet 服务管理器，用鼠标右键单击默认WEB站点，并在弹出菜单中选择属性，在“属性”窗口选择“目录安全性”选项页，如图所示。2）在“属性”窗口“目录安全性”选项页中，点击安全通信栏中的“服务器证书”图标，出现WEB服务器证书向导页面；用鼠标单击下一步，选择创建一个新证书，开始证书请求向导；选择“现在准备请求，但稍后发送”选项，因为我们稍后会将请求文件内容上传到相关数字证书认证中心。 3）根据提示按照您的WEB服务器的实际信息输入内容。包括：新证书额名称、加密钥的位长（选择1024位密钥长度）、组织

29、信息、站点的公用名称、地理信息、确认证书请求文件名和保存位置（本例中为c:certreq.txt）等。,4）在完成上述信息输入后，出现“请求文件摘要”页面。如图6.2所示。,5）完成证书申请请求，请求文件为certreq.txt，用记事簿打开，具体格式如图所示。,证书请求文件内容,2WEB服务器证书在线申请,我们到深圳电子商务认证中心进行服务器试用证书申请，除此之外，还可以在广东电子商务认证中心申请下载。 1）登录到http:/，系统提示安装根证书，点击确认即可；点击免费证书，点击“申请免费的服务器测试证书”，并填写申请表相应选项。 3）下载服务器证书，存放到本机硬盘，这里我们将服务器证书存放

30、到d:servercert.cer，文件名是深圳CA自动命名的，不要修改。 1）依次点击：开始程序管理工具Internet 服务管理器，用鼠标右键单击默认WEB站点，并在弹出菜单中选择属性，在“属性”窗口选择“目录安全性”选项页，如图10.5所示。 2）在“属性”窗口“目录安全性”选项页中，点击安全通信栏中的“服务器证书”图标，出现WEB服务器证书向导页面；用鼠标单击下一步，在出现的页面中，选择“处理挂起的请求并安装证书”选项。 3）输入证书路径及文件名，找到刚才下载的服务器证书。,4）在完成上述信息输入后，出现“证书摘要”页面。如图6.5所示。依次点击，直到证书安装完成。,5）此时，您可以通

31、过单击安全通信栏中的查看证书查看证书的详细信息，如图所示。,6）重启IIS服务，或者重新启动计算机，此时，SSL服务已经启动了，现在可以通过浏览器以HTTPS方式访问您的WEB站点了。这里我们浏览的是服务器上的一个测试网站，由于本机默认IP地址为127.0.0.1，因此，我们键入：https:/127.0.0.1。,注意，服务器认证是否生效关键是看用HTTPS协议能否打开服务器上的网站，如果能打开，说明一切正常，否则，可能某个环节出现了问题。下图是另外一个例子，这是网上银行的一个典型页面，注意协议及窗口最下面一行的锁的标记。,【网络安全提示】,（1）钓鱼网站：钓鱼网站是欺诈性的网站，通常可通过

32、网络钓鱼的电子邮件或即时通讯工具提供的链接来访问，其外观和支付宝、淘宝网站非常相似。 安全的支付宝网有个黄色的安全锁，在任何情况下，支付宝的任何密码都是在加密链接中输入。请牢记，需要您输入支付或登陆密码的环节一定要确认浏览器的地址栏中的地址是： ，并且是https开头的，并且在浏览器的下方或是地址栏上有安全锁标志的安全站点。如果不是，请不要输入任何信息。 如果您是yahoo、网易的邮箱使用者，当您收到支付宝发送的邮件时，请确认邮件是否带有防伪标志 。如果没有请不要打开，有可能是钓鱼网站。,（2） 数字证书是由权威公正的第三方机构，即CA中心签发的证书。它以数字证书为核心的加密技术可以对网络上传

33、输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。在淘宝网站上，对于支付宝的账户一定要安装支付宝数字证书，特别对卖家而言更加重要。（3）支付宝信使服务：当您的账户信息、交易、资金变动时，支付宝信息服务将会用短信、即时通讯工具、电子邮件通知您。,【教学活动4】 数字签名和加密邮件的收发,本教学活动要求学生能掌握在Outlook Express 中设置电子邮箱和证书的方法并掌握发送证书签名邮件和加密邮件的方法。 在上一教学活动的基础上，两人一组，运用在除“天威诚信”以外的其他认证中心申请的“个人安全电子邮件试用证书”来收发签名和加密邮件。,【活动实施】,1、必须将上次申

34、请到并保存起来的根证书、个人数字证书安装入（导入）本台计算机中。若已丢失，则重新申请、下载并安装根证书、个人证书。 2、在Outlook Express中单击菜单上的“工具”“ 帐号” ，“添加”“ 邮件”，逐步完成连接向导，输入姓名、与数字证书申请时使用的邮件地址一致的邮箱名称、邮件收发服务器 3、在 Outlook Express 中，继续设置“我的服务器要求验证”和 “在服务器中保留副本” 4、选取 安全 选项卡中的 签名标识，然后单击 选择 按健，选择相应证书并为“加密首选项”，选择相应证书。 5、设置完成后，单击Outlook Express 窗口中的“新邮件”按钮，撰写新邮件内容，

35、填写好收件人邮箱地址和邮件主题。选取“工具”菜单中的“数字签名”项或工具条上的“签名”按钮，在邮件收件人的右侧会出现一个红色的“签名”标牌。然后点击新邮件窗口左边的“发送”按钮。发出带签名的电子邮件。,6、当收件人收到并打开有数字签名的邮件时，将看到“数字签名邮件”的提示信息（用户可以设置下次不提示该信息），按“继续”按钮后，才可阅读到该邮件的内容。若邮件在传输过程中被他人篡改或发信人的数字证书有问题，页面将出现“安全警告”提示。 7、要发送加密电子邮件，需要有收件人的数字证书。获得收件人数字证书的方法可以是让对方给你发送带有其数字签名的邮件。将该邮件打开后，会在右边看到对方的证书标志。 8、

36、单击该标识，找到“安全”项，单击“查看证书”按钮，可以查看“发件人证书”。 9、单击“添加到通讯簿”按钮，在通讯簿中保存发件人的加密首选项，把对方数字证书就被添加到通讯簿中。 10、在Outlook Express 中撰写新邮件或者回复已经收到的邮件，写好邮件内容后，选取“工具”菜单中的“加密”项或单击工具栏上的“加密”按钮，邮件的右侧将会出现一个蓝色的锁型加密标识。该邮件也可以同时使用发件人的数字签名。,【拓展训练】 使用WINWEBMAIL软件对邮件进行加密,本训练利用WINWEBMAIL软件体验基于公开密钥的加密过程。学生每人需要申请两个邮箱A和B, A想把一段明文通过双钥加密的技术发送

37、给B，B有一对公钥和私钥，那么加密解密的过程如下：B将他的公开密钥传送给A；A用B的公开密钥加密她的消息，然后传送给B；B用他的私人密钥解密A的消息。A在给B发邮件时，通过不使用数字证书、使用数字签名、使用数字签名并加密三种方式，让学生体验加密过程及结果。安装WINWEBMAIL软件须知： 1、安装并配置好IIS组件。 2、在控制面板-管理工具-Internet 信息服务，打开本地计算机的网站，在默认网站下新建一个虚拟目录，别名取为mail（或别的），目录必须是winwebmail安装目录下的web子目录，可以根据需要为这个虚拟目录增加访问权限，点击完成。 3、把active server p

38、age活动服务器设置为启动。 4、通过运行cmd-ipconfig得知本机的ip地址。 5、在ie浏览器中输入http:/ip地址/虚拟目录名（mail）,一、数字证书的应用,1、申请学生本人的2个信箱（AB两个）。在IE浏览器的地址栏中输入http:/172.19.1.43/mail，点回车后出现上图的欢迎屏幕。,点击申请邮箱的链接，进入申请邮箱的操作界面如下图所示：,每个同学以本人的姓名+英文字母A申请第一个邮箱（以后简称为A邮箱），再以本人姓名+英文字母B申请第二个邮箱（以后简称为B邮箱），域名均选择system.mail。以“萧萧A”为例申请，具体可参见下图：,点击提交按钮即可完成申请

39、，系统提示创建成功，见下图：,点击返回首页即回到登录界面，使用刚刚申请的用户名和密码就可以进入该信箱，见下图：,用同样的方法申请“本人姓名B”信箱，在此不再重复。,注意记住本人的信箱用户名与密码，并将申请过程的界面和登录后的界 面使用ALT+PrintSc键截屏后粘贴到本人要提交的以班级姓名命名的WORD文 档（一班+本人姓名 .DOC）中，其内容就与本指导中上页中的示意图类似。,2、数字证书的相关操作,获取证书在申请好学生的本人的两个信箱后，即可进入A信箱，在左侧菜单中间略靠下的部分可以看到数字证书的选项按钮，点击它即进入数字证书的操作界面，见下图：,点击左上的获取用户数字证书，进入申请证书

40、的界面：见下图：,其中，证书的ID为本信箱的用户名，本人姓名a。 类型选默认即可。密码和确认密码来确定该证书的私钥。系统默认为证书永不过期， 如需要设定，可选择右则的过期时间，并在下方输入具体的年月日。,输入正确后，点击提交，即完成申请。系统会弹出一对话框，提示用户，见下图：,点击保存按钮，将证书保存于本地的磁盘中（默认保存在桌面文件夹）， 即将该证书文件（本人姓名a.asc）保存下来。这就完成证书的获取工作。,导入证书,点击导入我的数字证书按钮，进入如下界面：,在输入密码的对话框中输入刚获取证书的密码后，点击确定，进入下一步：,点击浏览按钮，弹出对话框，选择证书文件，如下：,点打开，返回上一

41、界面：点击上传证书按钮，系统显示如下图：,点确定，完成证书的导入。,管理证书,点击管理我的数字证书按钮，进入下图：,在此可进行：修改密码，下载证书和删除证书的操作。,管理公钥（发布）,点击管理我的公共数字证书按钮，进入公共证书（即公钥）的管理界面，在此，可进行公钥的下载和发布，如下图示：,如点击下载我的公共数字证书，将如下所示：,保存此文件，即为数字证书的公钥部分。,如点击发布我的公共数字证书按钮，则将如下所示：,说明系统已将该证书的公共部分发布，其他的用户将可以利用该公钥。,查看系统内发布的证书,点击查看系统内发布的证书按钮后，如下图：,系统将已经发布的证书，依次显示在列表中，如需要收藏或下

42、载，只需点击该 证书右则的收藏或下载链接即可。,管理我收藏的数字证书,点击管理我收藏的数字证书按钮后，如下图：,在此可以查看已经收藏的数字证书，可以下载该证书，也可以再导入，上传 证书，可以删除所有证书。 在Webmail邮件系统中，支持两种获取别人（其他用户）的数字证书的方法： （1）查看系统发布的他人证书，见上5的步骤，再点击需要证书的右侧收藏链接。 （2）在获取别人的公共数字证书文件后，（可以通过下载或附件传递）,点击上传按钮，进入如下界面,输入对方的邮件地址，如本例中的本人姓名bsystem.mail ,点确定，进入下一步：,点击浏览按钮，找到对应的文件，参见下图：,点打开，返回上界面

43、中的上传证书按钮，即可。,3、发送数字签名和加密邮件,当同学按照上述的内容申请好两个（A/B）信箱后，并按照第2部分的介绍，分别为AB两信箱获取好相应的数字证书，并将另一个信箱的公共数字证书（即公钥）收藏在自己的管理中，如上A信箱已将B信箱的公钥收藏好，（见上页最上边一图）。下面就可以互相的发送含有数字签名或加密的电子邮件了。具体方法如下：,点击左侧菜单中的写邮件按钮，进入如下界面：,在收件人、主题和正文部分同一般的电子邮件，需要注意的是在数字证书一栏的右 侧有下拉的选项，点击后有三种选择：1、不使用2、数字签名和加密3、数字签名,当选择数字签名后，会有如下提示，请输入您的数字证书密码，见下图：,此时输入密码后，即可发送带有数字签名的邮件，见 邮件前的图标标志。 当选择数字签名和加密后，系统首先要检查是否可以向接受者发送加密邮件，其前提是本用户要收藏有接受者的公共数字证书（即公钥）：见下图：点击该验证链接，如无问题，系统会给出下图的提示：,接着点击确定，输入本人的数字证书密码，即可发送加密邮件，见 邮件前的标示，表示该邮件已被加密。,当更换用户，进入B信息后，点击收件箱，也可以看到该邮件，见下图：,当打开该邮件后，首先显示的是加密后的情况，此时无法看到明文，如下图：,只有在正确输入本用户的密码后，经系统解密，才可以看到明文，如下图：,