数字签名需要你去一个申请数字证书的网站申请一个证书,详细介绍:
概述
在能够发送带有数字签名的邮件之前,您必须获得数字标识(也称为数字证书)。获得数字标识的方法请参考申请数字证书。
所谓数字标识是指由独立的授权机构发放的,证明您在Internet上身份的证件,是您在因特网上的身份证,是用户收发电子邮件时采用证书机制保证安全所必须具备的证书。
电子邮件数字签名、加密遵循S/MIME协议实现,S/MIME全称“安全的多功能互联网邮件扩展”(Secure/Multipurpose Internet Mail Extensions),是通过在RFCl847中定义的多部件媒体类型在MIME中打包安全服务的一个技术。它提供验证、信件完整性、数字签名和加密。
数字标识包括“私人密钥”(简称“私钥”)和“公用密钥”(简称“公钥”)。私钥是保密的,由证书申请人独自掌握,需要妥善保管。私钥一旦泄漏,应当尽快注销该证书,以免被他人冒用您的身份;公钥是公开的,您可以把它发送给别人,别人也可以从证书颁发机构处获得。
签名
申请到数字证书之后,使用证书的私钥,可以向任何邮件地址送数字签名邮件。通过数字签名,收件人可以验证您的身份,确认邮件是由您发出的,并且中途没有被篡改过。从而防止他人冒用您的身份发送邮件,或者中途篡改邮件。
加密
要向收件人发送加密邮件,并且对方可以正确解密,首先必须获得该收件人的公钥。发送邮件时,使用公钥对邮件进行加密。当收件人收到加密邮件后,使用对应的私钥才能对邮件进行解密,阅读邮件。其他人即使窃取到邮件,由于没有对应的私钥,也无法解读。
通过使用数字签名,可以确认以下两点:
1、信息是由签名者发送的。
2、信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止冒用别人名义发送信息;或者发出信件后又加以否认等情况发生。
发送数字签名或加密邮件
带数字签名的电子邮件允许电子邮件的收件人验证您的身份,加密电子邮件则可以防止其他人在邮件传递过程中偷阅邮件。发送邮件时,可以只对邮件进行签名,或者只对邮件进行加密,也可以对邮件同时进行签名和加密。
发送签名邮件
要为邮件添加数字签名,请在写邮件窗口“工具”菜单中,单击“数字签名”菜单项,或者单击工具栏的“签名”按钮。
使用某个帐户发送数字签名邮件,必须首先为该帐户的电子邮件地址申请一个数字证书,否则,发送邮件时,将提示用户申请数字证书。
在帐户属性中,可以为帐户设置证书。发送数字签名邮件时,将使用该证书进行签名,如果没有设置,将弹出“证书选择”对话框,提示用户选择一个证书作为本帐户的证书。
我自己看不懂.转载....不知道能不能棒到你!
听不懂,有图吗
S/MIME是Secure/Multipurpose Internet Mail Extensions (安全多用途互联网邮件扩展协议)的缩写,是采用PKI技术的用数字证书给邮件主体签名和加密的国际标准协议,其优势在于不仅仅是邮件加密,而且还能为邮件带上邮件发送者的通过第三方CA验证的真实身份信息,以便收件人能确信发件人的真实身份。
另外一个邮件加密技术是PGP加密,这是由发件人自己创建加密证书来加密邮件,没有可信的身份信息,仅提供加密功能。密信认为PGP不适合于跨机构之间的邮件通信,邮件加密和确信发件人的身份一样重要。
目前主流电子邮件客户端软件如Outlook、雷鸟和iMail都支持S/MIME加密和数字签名,密信APP采用S/MIME国际标准技术来加密和签名电子邮件,使得任何支持S/MIME协议的电子邮件客户端软件都能与密信APP正常互通发送加密与签名邮件,以及解密已加密和验证已签名的邮件。同时,对于基于互联网的不见面通信来讲,让收件人确信身份同加密一样重要,特别是商务往来邮件,这是PGP加密达不到的效果,因为PGP只有加密而没有通过第三方认证的用户真实身份信息。
根据美国国家标准技术研究院(NIST)发布的“可信邮件”标准SP 800-177 中的邮件安全建议(5-4): 不要使用PGP消息加密技术, 应该使用S/MIME和由已知CA签发的证书。并建议(4-11): 使用S/MIME签名来确保邮件的真实性和完整性。
邮件安全技术
电子签名技术采用多种加密方法,但可以通过易于理解的RSA(Rivest Shamir Adleman)公钥体系为例简述其原理。RSA加密基于一个无法对大数进行分解质因子的数学假设,使用2 个大素数的函数,一个作为公共密钥,另一个作为私人密钥,由于这2 个密钥是互补的,公共密钥加密的密文可以用私人密钥解密,反之亦然。因而邮件发送者只需要使用收件人的公共密钥加密邮件,加密后的邮件只有拥有私人密钥的收件人才可能有办法解密阅读,也就实现了邮件的加密,从而保证了邮件不会被任何第三者所阅读,即使在传输的过程中被第三者截取仍然不至于泄密。
当用户使用自己的电子证书在发出的邮件上签名时,邮件将被按照邮件的内容通过摘要函数运算取得一个可以用以检验邮件完整性的值,并将该值使用电子证书中的私人密钥加密,然后与公共密钥和邮件内容一起发送出去。由于私人密钥加密的内容只有对应的公共密钥可以解密,并且摘要函数可以在任意大小的数据中采集一个固定长度的摘要,供采集的数据源即使有一位数据改变取得的结果也不同,邮件的内容有任何改变都无法与原来检验邮件完整性的值相匹配,当收件人收到邮件时即可知道邮件的内容是否被篡改,同时也知道该邮件发送者使用的是哪一个电子证书。而由于第三方的权威证书发行机构在发出电子证书时,将验证申请者是否拥有所申请电子邮箱的使用权,收件人也就能够通过证书发行机构验证发件人所使用的电子证书(见图1),确认所收到的邮件的确来自拥有这个邮箱地址的用户,从而实现对发件人的真实性与邮件内容是否完整的鉴别。
电子签名技术非常复杂,但使用起来非常方便,不论是签名还是加密、解密,具体的步骤都将由电子邮件客户端软件实施。目前FoxMail、 Outlook Express与Outlook等主流的电子邮件客户端软件都能够支持。您需要做的只是申请电子证书,并在电子邮件客户端软件上指定每个电子邮件地址将使用哪种电子证书。在需要为发送的电子邮件签名或加密时单击相应的按钮即可完成。而当收到使用电子签名的邮件时,验证邮件是否完整和解密的工作也将由电子邮件客户端软件自动完成。
使用实例
首次使用邮件安全技术时,必须花费一些时间申请和安装电子证书,并对电子邮件客户端软件进行配置,这一过程或许有些繁琐,但与您的电子邮件通信安全相比,花费这些时间是非常值得的,下面以Thawte为例,介绍使用的全过程。
注册Thawte
在Thawte(www.thawte.com)进行注册后,便可以使用该网站提供的免费电子签名服务
首先请使用浏览器打开进入Thawte的首页,将鼠标指向中间导航栏上的“Products”,并在弹出的快捷菜单上单击“Free Personal E-mail certificates”(如图2),进入个人邮件证书页面单击页面上方的红色“join”打开注册页面。在注册之前需要注意,Thawte 上几乎所有的Web 程序都采用“.exe”扩展名,因此如果您的系统上安装了FlashGet 之类根据文件扩展名自动下载的工具软件,需要暂时设置下载软件不监视浏览器上的单击动作。
Thawte 提供一个向导式的注册页面,其中有一些需要特别注意的地方:首先第二步注册向导将要求您在“Charset ForText Input”下拉菜单上选择您将以哪种语言输入个人信息,建议以英文输入个人信息,避免在未来证书处理时出现错误;接下来在第四步也不选择中文选项,直接单击“Next”进入下一步使用默认的“Use mybrowser settings”即可;其次在注册向导的第六步,向导将要求您输入自己的电话号码,并设定多个问答以用于忘记密码时验证身份,您可以在网站设定的问题中选择回答也可以自己设定问题,但注意总数不少于5 个,否则无法进入下一步。
所有的注册选项设置完毕后,注册向导将提示“E-Mail Message Sent”,并告知您需要接收网站的验证邮件并按邮件中的提示进行操作,证明您的确拥有该电子邮箱的使用权。请检查您的邮箱找到来自Thawte 的验证邮件,使用浏览器打开邮件中指定的链接“ https://www.thawte.com/cgi/enroll/personal/step8.exe”并在页面上“Probe”和“Ping”两个输入框中输入邮件中对应的内容,然后单击“Next”进入下一步完成注册步骤。
申请电子证书
注册完成后,接着需要申请电子证书,对于电子签名来说,最重要的是要有一个电子证书,以证明签名的真实性
您必须在完成注册的页面上单击“Next”,或者回到网站的首页再次进入个人邮件证书页面单击“login”,然后在网站的登录窗口(见图3)中使用自己刚才注册的账户登录申请电子证书。初次登录网站将自动定位到证书申请页面,在申请证书的页面上单击“request”将打开证书申请向导,证书申请向导的步骤很多,只需一直单击“Next”采用默认选项即可,惟一需要注意的是:到达“configure X.509v3 certificate extensions”配置证书的这一步时,将有2 个按钮,您可以单击“Accept Default Extensions”中的“Accept”按钮选择默认配置。在最后完成申请向导时系统将弹出一个对话框,要求您确认是否在当前网站上申请电子证书。
在申请证书的过程中,网站会要求我们自己选择要包括在其中的电子邮件地址。由于您是第一次申请,网站默认只为您注册时填写的电子邮件地址生成证书,但实际上您可以将多个电子邮件地址包括在一个电子证书中。
安装电子证书
在申请到电子证书之后,需要在您的电脑上也安装一份,这样电子签名系统才能正常工作。
申请证书后回到刚才登录时的操作界面,单击“c e r t i f i c a t e s ”* “viewcertificate status”,单击显示的证书中状态(Status)栏显示为“pending”的未安装证书,在查看证书详细信息的页面下方单击“F e t c h ”,网站将转到“Install Your MSIE Certificate”页面,单击“Install Your Cert”将开始把刚才申请的证书安装到您的系统上。在安装的过程中系统将显示一个“正在创建RSA 交换密钥”的对话框,要求您确认保护私人密钥的安全级别。该选项系统默认为中级保护,代表电子邮件客户端软件在调用电子证书的私人密钥时将需要您确认同意才进行操作,如果需要您可以单击对话框上的“设置安全级别”,将保护级别改为每次调用需要输入密码的高级保护。另外,在安装证书的过程中系统将2次弹出对话框,要求确认在当前系统上安装证书。
设置邮件客户软件
获得电子证书后,需要在自己使用的电子邮件客户端软件设置相关的选项,然后才可以使用电子证书签名或加密邮件,下面将分别介绍在FoxMail、Outlook Express 与Outlook 上的设置和使用方法。
(1)FoxMail
在FoxMail 中只需要选择“账户”*“账户属性”*“安全”*“选择”,在弹出的“选择证书”对话框中选中Thawte证书名称前的复选框并单击“确定”,返回“账户属性”对话框中您将发现右侧将显示出证书的相关信息(见图4)。单击“确定”关闭“账户属性”存储设置,以后在使用FoxMail 编辑邮件时,您就可以通过邮件编辑窗口工具栏上的“签名”和“加密”按钮,使用自己的电子证书签名或使用收件人的证书加密邮件。
(2)Outlook
在Outlook 中选择“工具”*“选项”*“安全”,切换到“安全”选项卡,在“安全”选项卡上方的“加密邮件”一栏中,您可以通过复选框选择是否需要加密所有发出的邮件,或者为所有发出的邮件签名。单击“默认设置”旁边的“设置”按钮,您将可以在弹出的“更改安全设置”对话框上(见图5),单击“选择”指定用于加密和签名的电子证书,更改加密算法以及选择是否在发送签名邮件时将电子证书一同发出。设置完毕后,在使用Outlook编辑邮件时,您将可以通过邮件编辑窗口工具栏上的“签名”和“加密”,使用自己的电子证书签名或使用收件人的证书加密邮件
(3)Outlook Express
在Outlook Express 中选择“工具”*“选项”*“安全”,切换到“安全”选项卡,在“安全”选项卡下方的“安全邮件”一栏中,您可以通过复选框选择是否需要加密所有发出的邮件,或者为所有发出的邮件签名。单击旁边的“设置”,您将可以在弹出的“高级安全设置”对话框上(见图6)作更细致的设置,选择在收到使用电子签名的邮件时是否自动验证证书的可靠性,以及是否将对方的电子证书添加到地址本,以便未来用于给对方发送加密邮件。设置完毕后,在使用OutlookExpress 编辑邮件时,可以通过邮件编辑窗口工具栏上的“签名”和“加密”按钮,使用自己的电子证书签名或使用收件人的证书加密邮件。
收发安全邮件
在完成上述操作之后,您已经大功告成,可以使用电子签名应用了。这样,您的邮件系统又多了一分安全。
在发出的邮件上签名的方法非常简单,在设置邮件客户端软件的过程中,可以选择对所有发出的邮件签名,也可以设置证书后在编辑邮件时单击“签名”即可签名。当收件方接到一封已签名或加密的安全邮件时,将分别以不同的图标在“收件箱”中显示使用了电子签名的邮件与加密邮件。在阅读邮件时,软件将首先显示安全邮件帮助页面,邮件可能出现的任何问题都将在该页面上做出详细描述(见图7),如果该安全邮件存在问题,信息之中可能出现“安全警告”之类的描述,告知用户该邮件已被篡改或并非来自所谓的发件人。而单击邮件查看窗口的“文件”*“属性”,在邮件的属性窗口中,“安全”选项卡,将可以查看发件人签署电子签名时所使用的电子证书所对应的电子邮件地址,以及证书的状态、加密时所使用的电子证书、加密的算法等等相关信息。
在收件人收到使用电子证书签名的邮件后,可以通过电子邮件客户端软件自动收集您的证书,也可以在查看签名证书时单击电子证书下方的“安装证书”,将您的证书安装到自己的系统上,以后就可以使用该电子证书加密邮件发送给您。同样,您也需要有收件人的电子证书才可以给对方发送加密邮件,因此一般情况下在设置电子邮件客户端时,应尽量选中相关的项目,让软件能够在收到有电子证书签名的邮件时自动将证书安装到系统上。而在收到加密邮件时操作非常简单,软件将自动要求您确认允许使用私人密钥进行解密,只需要点击“确认”即可阅读邮件。
证书管理
您已经在自己的电脑安装了电子证书,它是您隐私的一部分,一定要保护和管理好,否则安全措施形同虚设。
在接收加密邮件时只需一个单击即可解密证书,但前提条件是包含私人密钥的电子证书已经安装在系统上。因此,如果您使用多部电脑,那么您将需要按照下面的方法将电子证书安装到多部电脑上:在Outlook Express 的设置过程中,选择“选项”*“安全”*“数字标识”;或者在Outlook的设置过程中,当单击“选择”指定用于加密和签名的证书时,都将运行证书管理器打开“证书”窗口(见图8)。在“证书”窗口中,除了可以查看和选择证书,还可以对证书进行管理。在“证书”窗口中单击“个人”一栏中Thawte的电子证书名称,然后单击“导出”,就可以把电子证书导出为一个文件,然后在其他电脑上通过证书管理器的“导入”将证书导入,就可以在其他电脑上使用该电子证书了。对于联系人的电子证书也可以通过同样的方法导入和导出,以便在不同的电脑上仍然可以给对方发送加密邮件。
另外,也可以登录Thawte 个人邮件证书页面,选择“certificates”*“viewcertificate status”,单击选择目前自己使用的电子证书,重复一次安装证书的步骤来将证书安装到新的电脑上。但必须注意,一定要小心保护好自己的电子证书,尽可能只在自己个人使用的电脑上使用它。如果的确需要将电子证书安装到其他人可能接触的电脑上,应该改变私人密钥的保护级别到高级,使每次调用私人密钥都需要输入密码以增强安全性,并在自己使用完后通过证书管理器删除证书。
万一不幸,证书落入别人手里,您也可以考虑将该证书废除,重新申请一个证书。 我自己看不懂.转载....不知道能不能棒到你!