(Thawte案例,仅供流程参考)电子邮件数字签名证书使用案例

邮件安全技术——电子邮件数字签名
首次使用邮件安全技术时，必须花费一些时间申请和安装电子证书，并对电子邮件客户端软件进行配置，这一过程或许有些繁琐，但与您的电子邮件通信安全相比，花费这些时间是非常值得的，下面以Thawte为例，介绍使用的全过程。

（thawte是目前比较好用的数字身份认证服务提供商，他们的地址是：
/）
1. 注册Thawte
在Thawte（）进行注册后，便可以使用该网站提供的免费电子签名服务
首先请使用浏览器打开进入Thawte的首页，将鼠标指向中间导航栏上的“Products”，并在弹出的快捷菜单上单击“Free Personal E-mail certificates”，进入个人邮件证书页面单击页面上方的红色“join”打开注册页面。

在注册之前需要注意，Thawte 上几乎所有的Web 程序都采用“.exe”扩展名，因此如果您的系统上安装了FlashGet 之类根据文件扩展名自动下载的工具软件，需要暂时设置下载软件不监视浏览器上的单击动作。

Thawte 提供一个向导式的注册页面，其中有一些需要特别注意的地方：首先第二步注册向导将要求您在“Charset ForText Input”下拉菜单上选择您将以哪种语言输入个人信息，建议以英文输入个人信息，避免在未来证书处理时出现错误；接下来在第四步也不选择中文选项，直接单击“Next”进入下一步使用默认的“Use mybrowser settings”即可；其次在注册向导的第六步，向导将要求您输入自己的电话号码，并设定多个问答以用于忘记密码时验证身份，您可以在网站设定的问题中选择回答也可以自己设定问题，但注意总数不少于 5 个，否则无法进入下一步。

所有的注册选项设置完毕后，注册向导将提示“E-Mail Message Sent”，并告知您需要接收网站的验证邮件并按邮件中的提示进行操作，证明您的确拥有该电子邮箱的使用权。

请检查您的邮箱找到来自Thawte 的验证邮件，使用浏览器打开邮件中指定的链接“https:///cgi/enroll/personal/step8.exe”并在页面上“Probe”和“Ping”两个输入框中输入邮件中对应的内容，然后单击“Next”进入下一步完成注册步骤。

2. 申请电子证书：
注册完成后，接着需要申请电子证书，对于电子签名来说，最重要的是要有一个电子证书，以证明签名的真实性。

您必须在完成注册的页面上单击“Next”，或者回到网站的首页再次进入个人邮件证书页面单击“login”，然后在网站的登录窗口中使用自己刚才注册的账户登录申请电子证书。

初次登录网站将自动定位到证书申请页面，在申请证书的页面上单击“request”将打开证书申请向导，证书申请向导的步骤很多，只需一直单击“Next”采用默认选项即可，惟一需要注意的是：到达“configure X.509v3 certificate extensions”配置证书的这一步时，将有 2 个按钮，您可以单击“Accept Default Extensions”中的“Accept”按钮选择默认配置。

在最后完成申请向导时系统将弹出一个对话框，要求您确认是否在当前网站上申请电子证书。

在申请证书的过程中，网站会要求我们自己选择要包括在其中的电子邮件地址。

由于您是第一次申请，网站默认只为您注册时填写的电子邮件地址生成证书，
但实际上您可以将多个电子邮件地址包括在一个电子证书中。

3. 安装电子证书
在申请到电子证书之后，需要在您的电脑上也安装一份，这样电子签名系统才能正常工作。

申请证书后回到刚才登录时的操作界面，单击“c e r t i f i c a t e s ”* “viewcertificate status”，单击显示的证书中状态（Status）栏显示为“pending”的未安装证书，在查看证书详细信息的页面下方单击“F e t c h ”，网站将转到“Install Your MSIE Certificate”页面，单击“Install Your Cert”将开始把刚才申请的证书安装到您的系统上。

在安装的过程中系统将显示一个“正在创建RSA 交换密钥”的对话框，要求您确认保护私人密钥的安全级别。

该选项系统默认为中级保护，代表电子邮件客户端软件在调用电子证书的私人密钥时将需要您确认同意才进行操作，如果需要您可以单击对话框上的“设置安全级别”，将保护级别改为每次调用需要输入密码的高级保护。

另外，在安装证书的过程中系统将2次弹出对话框，要求确认在当前系统上安装证书。

4. 设置邮件客户软件
获得电子证书后，需要在自己使用的电子邮件客户端软件设置相关的选项，然后才可以使用电子证书签名或加密邮件，以FoxMail为例：
在FoxMail 中只需要选择“账户”*“账户属性”*“安全”*“选择”，在弹出的“选择证书”对话框中选中Thawte证书名称前的复选框并单击“确定”，返回“账户属性”对话框中您将发现右侧将显示出证书的相关信息。

单击“确定”关闭“账户属性”存储设置，以后在使用FoxMail 编辑邮件时，您就可以通过邮件编辑窗口工具栏上的“签名”和“加密”按钮，使用自己的电子证书签名或使用收件人的证书加密邮件。

在完成上述操作之后，您已经大功告成，可以使用电子签名应用了。

这样，您的邮件系统又多了一分安全。

在发出的邮件上签名的方法非常简单，在设置邮件客户端软件的过程中，可以选择对所有发出的邮件签名，也可以设置证书后在编辑邮件时单击“签名”即可
签名。

当收件方接到一封已签名或加密的安全邮件时，将分别以不同的图标在“收件箱”中显示使用了电子签名的邮件与加密邮件。

在阅读邮件时，软件将首先显示安全邮件帮助页面，邮件可能出现的任何问题都将在该页面上做出详细描述，如果该安全邮件存在问题，信息之中可能出现“安全警告”之类的描述，告知用户该邮件已被篡改或并非来自所谓的发件人。

而单击邮件查看窗口的“文件”*“属性”，在邮件的属性窗口中，“安全”选项卡，将可以查看发件人签署电子签名时所使用的电子证书所对应的电子邮件地址，以及证书的状态、加密时所使用的电子
证书、加密的算法等等相关信息。

在收件人收到使用电子证书签名的邮件后，可以通过电子邮件客户端软件自动收集您的证书，也可以在查看签名证书时单击电子证书下方的“安装证书”，将您的证书安装到自己的系统上，以后就可以使用该电子证书加密邮件发送给您。

同样，您也需要有收件人的电子证书才可以给对方发送加密邮件，因此一般情况下在设置电子邮件客户端时，应尽量选中相关的项目，让软件能够在收到有电子证书签名的邮件时自动将证书安装到系统上。

而在收到加密邮件时操作非常简单，软件将自动要求您确认允许使用私人密钥进行解密，只需要点击“确认”即可
阅读邮件。

附1：Outlook
在Outlook 中选择“工具”*“选项”*“安全”，切换到“安全”选项卡，在“安全”选项卡上方的“加密邮件”一栏中，您可以通过复选框选择是否需要加密所有发出的邮件，或者为所有发出的邮件签名。

单击“默认设置”旁边的“设置”按钮，您将可以在弹出的“更改安全设置”对话框上（见图5），单击“选择”指定用于加密和签名的电子证书，更改加密算法以及选择是否在发送签名邮件时将电子证书一同发出。

设置完毕后，在使用Outlook编辑邮件时，您将可以通过邮件编辑窗口工具栏上的“签名”和“加密”，使用自己的电子证书签名或使用收件人的证书加密邮件
附2：Outlook Express
在Outlook Express 中选择“工具”*“选项”*“安全”，切换到“安全”选项卡，在“安全”选项卡下方的“安全邮件”一栏中，您可以通过复选框选择是否需要加密所有发出的邮件，或者为所有发出的邮件签名。

单击旁边的“设置”，您将可以在弹出的“高级安全设置”对话框上（见图6）作更细致的设置，选择在收到使用电子签名的邮件时是否自动验证证书的可靠性，以及是否将对方的电子证书添加到地址本，以便未来用于给对方发送加密邮件。

设置完毕后，在使用OutlookExpress编辑邮件时，可以通过邮件编辑窗口工具栏上的“签名”和“加密”按钮，使用自己的电子证书签名或使用收件人的证书加密邮件。

收发安全邮件
在完成上述操作之后，您已经大功告成，可以使用电子签名应用了。

这样，您的邮件系统又多了一分安全。

证书管理
您已经在自己的电脑安装了电子证书，它是您隐私的一部分，一定要保护和管理好，否则安全措施形同虚设。

在接收加密邮件时只需一个单击即可解密证书，但前提条件是包含私人密钥的电子证书已经安装在系统上。

因此，如果您使用多部电脑，那么您将需要按照下面的方法将电子证书安装到多部电脑上：在Outlook Express 的设置过程中，选择“选项”*“安全”*“数字标识”；或者在Outlook的设置过程中，当单击“选择”指定用于加密和签名的证书时，都将运行证书管理器打开“证书”窗口。

在“证书”窗口中，除了可以查看和选择证书，还可以对证书进行管理。

在“证书”窗口中单击“个人”一栏中Thawte的电子证书名称，然后单击“导出”，就可以把电子证书导出为一个文件，然后在其他电脑上通过证书管理器的“导入”将证书导入，就可以在其他电脑上使用该电子证书了。

对于联系人的电子证书也可以通过同样的方法导入和导出，以便在不同的电脑上仍然可以给对方发送加密邮件。

另外，也可以登录Thawte 个人邮件证书页面，选择“certificates”*“viewcertificate status”，单击选择目前自己使用的电子证书，重复一次安装证书的步骤来将证书安装到新的电脑上。

但必须注意，一定要小心保护好自己的电子证书，尽可能只在自己个人使用的电脑上使用它。

如果的确需要将电子证书安装到其他人可能接触的电脑上，应该改变私人密钥的保护级别到高级，使每次调用私人密钥都需要输入密码以增强安全性，并在自己使用完后通过证书管理器删除证书。

万一不幸，证书落入别人手里，您也可以考虑将该证书废除，重新申请一个证书。