|
如果你使用IE申请过客户证书,你会注意到在申请证书的页面的Advance Setting中有一项Usage选项,这是X.509数字证书的标准扩展,它指定所申请证书的用途。在这个选项中除了客户验证和服务器验证之外还有E-Mail保护,代码签名和时间戳签名。E-Mail保护用来对电子邮件签名和加密的即用于安全电子邮件S/MIME协议,代码签名是用来对exe,ocx或cab签名的,时间戳签名是用来产生时间戳的。
安全电子邮件提供邮件的加密和签名,利用公钥算法保证你的签名邮件不会被篡改,而你的加密邮件除了邮件接收者以外(甚至你自己)的任何人无法阅读其中的内容。邮件签名很加密的使用方法相对比较简单,申请一个E-Mail保护证书,在E-Mail一栏中输入你的POP3Mail帐号(不能用基于HTTP的邮件帐号),在安装好证书后打开Outlook Express,在帐号属性中选择“安全”一栏。这里你可以将你的邮件帐号同你的数字证书绑定,需要注意的是,证书中的邮件地址必须同绑定的邮件帐号一致。这样你就可以对自己的邮件签名和加密了。打开邮件编辑界面,在工具栏的最右边有两个按钮,那就是签名和加密按钮。
对邮件签名使用的是你的私有密钥,在完成邮件后按下该按钮,Outlook会自动以附件方式在邮件中添加一个签名PKCS#7 Signature,在这个签名中同时还包含了你的证书(S/MIME),当别人收到你的邮件后如果他使用的邮件工具支持S/MIME(如Outlook Express和Netscape Messenger)就会自动对邮件的签名进行验证。验证签名需要对证书链进行验证,这就需要已经安装颁发你的S/MIME证书的CA的证书(就是安装Certificate Server时产生的那个证书即根证书),通常别人不会有你的根证书,所以你必须首先将你的根证书发给别人并安装,否则你的签名邮件将无法验证。根证书安装方法同SSL根证书的安装,通常SSL和S/MIME根证书会是同一个,因为CA证书一般是不分用途的,它只有一个用途就是签发证书。
别人收到你的签名邮件后,通过查看邮件属性可以看到你的证书(包含在你的签名中的),他可以把你的证书添加到地址簿中去,并同地址簿中的邮件地址绑定。这样他就可以你发送加密邮件了,这是因为加密邮件使用的是邮件接收方的公钥即数字证书。加密操作同样只要按一个按钮就可以了。加密邮件的前提是在你的地址簿中有与发送地址绑定的数字证书。
除了通过邮件发送你的S/MIME证书(不是根证书),你还可以通过文件方式,以PKCS#7证书链方式将证书导出到文件并发给别人,那他就可以通过打开文件将你的证书添加到通讯簿中。此外还有一种情况就是你希望给一个人发一个加密的邮件,但又没有对方的证书,这时就需要一个类似黄页的工具来查询某人的证书,目前主要是通过目录查询来实现的。点击NT/98的开始按钮,选择“查找|用户”菜单,在服务商中选择Verisign,然后在名字一栏中输入Frank然后按查找,双击某个输出结果查看其属性,你会发现这个人的证书,将其添加到通讯簿中后,你就可以给他发送加密邮件了。
现在来讲一下代码签名,如果你编写一个ActiveX 控件并放在网页中,别人通过Internet下载时通常会出现一个安全警告,提示代码没有签名。在你的Certificate Server安装目录下找到xenroll.cab,并查看其属性,你会发现多了一栏数字签名,这里你可以查看签名验证情况以及相关证书。要给自己的程序签名其实也很简单,Microsoft有一个Authenticode工具专名用来给代码签名,你可以从Microsoft站点下载到,里面有许多工具,但通常你只要用到signcode.exe就够了。首先你需要有一个代码签名证书,然后使用signcode.exe使用过程很方便,基本是wizard方式的,在提示选择使用的签名证书时按“从存储器选择”按钮选择签名证书。你可以选择将所以证书放入签名,也可以不将根证书放入签名,建议不要将根证书放入签名,还是应让用户从你的站点下载根证书,因为带根证书的签名是没有意义的,虽然这会给用户带来一些麻烦(他需要先安装根证书才能正确验证你的签名)。在提示加入时间戳时选择不加入时间戳。完成签名后你可以从文件属性验证其签名和证书。
时间戳的作用在于证明某一段数据在该时间的存在性。比如你有一个重大发现,希望用它来争取诺贝尔奖,你用Word编写你的论文,但是为了证明你是第一个发现者,你需要证明你写论文的时间,由于文件的时间可任意修改,不能作为证明,所以你需要有一个时间戳,你通过某个Hash算法计算出你的Word文件的摘要并发送给一个权威的时间戳签名服务商(DTS),DTS对摘要和签发时间进行签名形成时间戳发还给你,你将文件时间戳合并,作为将来证明你撰写论文时间的依据。时间戳服务需要很高的权威性,所以对私钥存储,时间来源都有很高的要求。目前这方面应用不多,好象Office 2000似乎支持时间戳功能。
无论是SSL也好,安全电子邮件也好,代码签名也好都是Netscape最先提出和使用的,在Netscape中使用这些技术,方法都很相似(Microsoft学的还真象),所以这里不再多说了。IE5.0以后,Microsoft的这些技术和产品已经比较成熟,在功能上部分超越了Netscape,但Netscape毕竟是原创,在这方面的文档资料比较全面,讨论组和邮件列表也比较多,所以在技术支持方面会比较好一点。
|
