数字证书主要应用于各种需要身份认证的场合,目前广泛应用于网上银行、网上交易等商务应用外,数字整数还可以应用于发送安全电子邮件、加密文件等方面,以下是10个数字证书最常用的应用实例,从中读者可以更好地了解数字证书技术及其应用。 一、保证网上银行的安全 只要你申请并使用了银行提供的数字证书,即可保证网上银行业务的安全,即使黑客窃取了你的帐户密码,因为他没有你的数字证书,所以也无法进入你的网上银行帐户。下面我们以建设银行的网上银行为例,介绍数字证书的安装与使用: 1、安装根证书 首先到银行营业厅办理网上银行申请手续;然后登录到各地建设银行网站,点击网站“同意并立即下载根证书”,将弹出下载根证书的对话框,点“保存”,把root.crt保存到你的硬盘上;双击该文件,在弹出的窗口中单击“安装证书”,安装根证书。 2、生成用户证书 接下来要填写你的账户信息,按照你存折上的信息进行填写,提交表单,按“确定”后出现操作成功提示,记住你的账号和密码;进入证书下载的页面,点击“下载”,在新画面中(见图5)选择存放证书的介质为“本机硬盘(高级加密强度))”,点击“生成证书”按钮,将询问你是否请求一个新证书,接着询问你“是否要添加新的证书”,信任该站点,点“是”;系统将自动安装证书,最后出现“安装成功”画面。 3、使用数字证书 现在,你可以使用证书来确保网上银行的安全了,建议你把证书保存在USB盘上,使用网上银行时才插到电脑上,防止证书被盗。 重新进入建设银行网站,选择“证书客户登录”,选择正确的证书号,输入用户号和密码,即可登录你的网上银行帐户,办理转账、网上速汇通等业务。 二、通过证书防范你的网站被假冒 目前许多著名的电子商务网站,都使用数字证书来维护和证实信息安全。为了防范黑客假冒你的网站,你可以到广东省电子商务认证中心 (http://www.cnca.net/)申请一个服务器证书,然后在自己的网站上安装服务器证书。安装成功后,在你的网站醒目位置将显示“VeriSign安全站点”签章、并提示用户点击验证此签章。只要你一点击此签章,就会连接VeriSign全球数据库验证网站信息,然后显示真实站点的域名信息、及该站点服务器证书的状态,这样别人即可知道你的网站使用了服务器证书,是个真实的安全网站,可以放心地在你的网站上进行交易或提交重要信息。 另外,如果你发现某个网站有以下两样标志,则表明该网站激活了服务器证书,此时已建立了SSL连接,你在该网站上提交的信息将会全部加密传输,因此能确保你隐私信息的安全。 1、观察网址 观察要你提交个人信息页面的网址前,是否带有“https://”标志(这里的S代表安全网站); 2、网页状态栏是否有金色小锁 观察网页的状态栏中是否有一把金色小锁,双击该锁会弹出该站点的服务器证书,里面包含了真实站点的域名及证书有效期。如果状态栏中没有金锁、或者它是打开的,那么表示你提交的信息将不会被加密。 三、发送安全邮件 数字证书最常见的应用就是发送安全邮件,即利用安全邮件数字证书对电子邮件签名和加密,这样即可保证发送的签名邮件不会被篡改,外人又无法阅读加密邮件的内容。现在我们以Outlook XP为例,介绍安全发送邮件的方法: 1、邮件帐号与数字证书绑定 启动Outlook XP,在主窗口点击菜单“工具”/选项/安全,单击“设置”按钮,弹出“更改安全设置”画面(见图6),输入安全设置名称lacl,勾选默认安全设置,点击“选择”为帐户绑定一个数字证书,最后单击“确定”退出。以后发送数字签名邮件时,将使用该证书进行签名。 2、发送带数字签名的邮件 单击“新建”进入写邮件窗口,开始撰写一封新邮件。填上发件人、收件人、标题,写好信,点击工具栏上的“选项”按钮,在邮件选项中,点击“安全设置”按钮,在弹出的窗口中(见图7),勾选“为此邮件添加数字签名”,最后按“发送”把它发送出去。 当对方收到并打开该邮件时,将看到“数字签名邮件”的提示信息,在邮件内容窗口的右边,有个红色的“数字签名”图标,点击之可看到数字签名信息,由此便可确认该邮件是你发出的、并且中途没有被篡改过。 3、发送加密邮件 你必须首先获得对方的公钥,然后才能给他发加密邮件。 (1)获得对方公钥的方法 你可以让收件人先给你发送一份签名邮件来获取对方的公钥,或者直接到电子商务安全认证中心的网站(例如http://www.cnca.net或者http://www.ca365.com/)上查询并下载对方的公钥。 (2)创建邮件并发送 加密邮件的发送方法,与以上发送签名邮件的方法类似,不过当你点击“安全设置”按钮,在安全属性窗口中,要勾选“加密邮件内容和附件”。 四、对付网上投假票 目前网上投票,一般采用限制投票IP地址的方法来对付作假,但是断线后重新上网,你就会拥有一个新IP地址,因此只要你不断上网和下网,即可重复投票。为了杜绝此类造假,建议网上投票使用数字证书技术,要求每个投票者都安装使用数字证书,在网上投票前要进行数字签名,没有签名的投票一律视为无效。由于每个人的数字签名都是唯一的,即使他不断上网、下网,每次投票的数字签名都会相同的,因此无法再投假票。 五、使用代码签名证书,维护自己的软件名誉 天威诚信(www.itrus.com.cn)提供了代码签名证书,你可以利用代码签名证书、给你的软件签名,防止别人篡改了你的软件(例如在你的软件中添加木马或病毒),维护你的软件名誉。 利用上文提到的微软Authenticode工具包,其中有一个signcode.exe,可以专门给代码签名,能对32位的、后缀为.exe(PE 文件)、.cab、.dll 、.vbd和 .ocx 的文件进行数字签名,给自己的程序签名方法: 运行signcode.exe出现一个向导,先选择你要签名的程序文件,然后出现签名选项,选择“自定义”(右图8);当提示选择使用的签名证书时,按“从文件选择”按钮,文件类型选择X.509,选择你的签名证书lacl.cer;按“下一步”,然后点“浏览”安装私匙文件lacl.pvk;最后在提示你加入时间戳时,选择“不加入时间戳”。 完成签名后,你可以右击经过数字签名的代码文件,然后选择“属性”/数字签名,查看其签名和证书,即可得知该软件是否为你发布的。 六、保护Office文档安全 Office可以通过数字证书来确认来源的可靠,你可以利用数字证书对Office文件或宏进行数字签名,从而确保它们都是你编写的、没有被他人或病毒篡改过。 1、用数字证书进行宏的签名 宏测试完毕确认后,再对宏进行签名。打开包含要签名的宏方案的文件,在“工具/宏/Visual Basic编辑器/工程资源管理器”中,选择要签名的方案;再点击“工具/数字签名”命令即可。 如果要防止用户因意外修改宏方案而导致签名失效,请在签发之前锁定宏方案。您的数字签名只能说明您保证该方案是安全的,并不能证明是您编写了该方案。因此锁定宏方案不能防止其他用户利用另一个签名替换您的数字签名。 2、用数字证书对文档签名 打开要签名的Word 文档(Office XP),单击菜单“工具/选项”,点击打开“安全性”选项卡(见图9),其中有个“数字签名”按钮,单击之给该文件加上你的数字签名,随之会弹出一个窗口,要求添加你的数字证书,单击“添加”按钮,从你的数字证书中选择一个进行添加;然后按“确定”返回,现在你的数字证书就加到该文档中了。 以后别人打开该文档,单击“工具”/选项/安全性”菜单,在此处看到你的数字证书,就知道该文档是你编写的,因为有你的数字签名。 为了防止别人修改你的文档资料,你还应该在图9所示的画面中,给文档添加一个修改权限密码,即在“修改权限密码”一栏,输入密码123,最后按“确定”退出保存。这样以后再次打开该文档时,就会要求你输入这个修改权限密码,假如你不知道密码,就不能修改该文档、只能以只读形式打开之。 七、为加密的NTFS分区制作“钥匙” 如果你的硬盘上有NTFS分区、并且对该分区中的数据进行了加密,那么应该及时备份密钥,假如你没有这样做,以后一旦重新安装系统,你就会无法访问NTFS分区上的加密数据,备份密钥的方法是: 在IE中点击“工具/Internet选项”,进入“内容”选项卡,点击“证书”按钮,在打开的“证书”窗口中选中要导出的证书,单击“导出”;按照向导的提示,一路按“下一步”;直至向导询问你是否导出私钥,选择“导出私钥”即可,其他的选项均保留默认设置,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。 导出的证书是一个以PFX 为后缀的文件。以后你重装系统后,可以找到该PFX 文件,鼠标右击之并选择“安装PFX”,系统将会弹出一个导入向导,按照提示导入备份密钥,这样即可打开之前加密的数据文件。 八、检查Windows是否为微软原版 如果你想知道自己的Windows是否为微软原版,只要验证其核心文件是否被替换过即可,那么如何知道核心文件未被替换过呢?你可以使用工具来检查这些文件的数字签名,Windows XP/2000中有“文件签名验证”工具,Windows 9x则提供了“系统文件检查器”,使用这些工具你可以知道系统文件的数字签名状态,假如它们都经过了数字签名,则说明Windows未被篡改过、是微软原版的,下面我们以WindowsXP/2000为例,介绍验证的方法。 单击菜单“开始/运行”,键入“sigverif”打开“文件签名验证”窗口,然后点击“开始”按钮检查每个系统文件的数字签名,过一会儿将显示一个画面(见图10),列出所有未经过数字签名的文件,如果你发现列表中有winlogon.exe、licdll.dll这两个文件,那么你的Windows就被篡改过了,否则即为微软原版的。 九、不再弹出签名验证警告 Windows XP自带的驱动程序都通过了微软的WHQL数字签名,当你安装未经过微软数字签名的驱动程序时,就会显示警告信息“没有通过Windows徽标测试,无法验证它同Windows XP的相容性”,如果要求不再弹出驱动程序签名验证警告,你可以这样设置: 单击“开始/设置/控制面板/系统”,打开“系统属性”窗口,切换到“硬件”选项页,点击“驱动程序签名”按钮,弹出一个窗口(见图11),选择“忽略—安装软件,不用征求我的同意”,在“系统管理员选项”下,选中“将这个操作作为系统默认值应用”复选框,最后按“确定”退出。 十、屏蔽插件安装窗口 众所周知,用IE上网浏览时,经常会要求你安装各种插件,例如3721、IE搜索伴侣、百度等。有些人需要安装这些插件,假如你不想安装它们,弹出的这些插件安装窗口,就会让你非常烦恼!其实使用Windows的证书机制,把插件的证书安装到“非信任区域”,即可屏蔽这些插件的安装窗口,下面我们以屏蔽Flash播放插件为例,加以说明: 在弹出的Flash播放插件安装窗口中,有个“其发行者为:”,在它下面有个发行者名称的链接(即“Macromedia”),点击该发行者链接,会出现一个证书窗口,选择“不信任的证书”的选项,把证书安装到“非信任区域”,点击确定,这样以后就不会再弹出该插件安装窗口了。