证书是由机关﹑学校﹑团体等发的证明资格或权力的文件。
原来地久天长,只是误会一场。
一保证网上银行的安全
只要你申请并使用了银行提供的数字证书即可保证网上银行业务的安全即使黑客窃取了你的帐户密码因为他没有你的数字证书所以也无法进入你的网上银行帐户下面我们以建设银行的网上银行为例介绍数字证书的安装与使用
1安装根证书
首先到银行营业厅办理网上银行申请手续然后登录到各地建设银行网站点击网站同意并立即下载根证书将弹出下载根证书的对话框点保存把root.crt保存到你的硬盘上双击该文件在弹出的窗口中单击安装证书安装根证书
2生成用户证书
接下来要填写你的账户信息按照你存折上的信息进行填写提交表单按确定后出现操作成功提示记住你的账号和密码进入证书下载的页面点击下载在新画面中见图5选择存放证书的介质为本机硬盘高级加密强度点击生成证书按钮将询问你是否请求一个新证书接着询问你是否要添加新的证书信任该站点点是系统将自动安装证书最后出现安装成功画面
图1 生成用户证书
3使用数字证书
现在你可以使用证书来确保网上银行的安全了建议你把证书保存在USB盘上使用网上银行时才插到电脑上防止证书被盗
重新进入建设银行网站选择证书客户登录选择正确的证书号输入用户号和密码即可登录你的网上银行帐户办理转账网上速汇通等业务
二通过证书防范你的网站被假冒
目前许多著名的电子商务网站都使用数字证书来维护和证实信息安全为了防范黑客假冒你的网站你可以到广东省电子商务认证中心
申请一个服务器证书然后在自己的网站上安装服务器证书安装成功后在你的网站醒目位置将显示VeriSign安全站点签章并提示用户点击验证此签章只要你一点击此签章就会连接VeriSign全球数据库验证网站信息然后显示真实站点的域名信息及该站点服务器证书的状态这样别人即可知道你的网站使用了服务器证书是个真实的安全网站可以放心地在你的网站上进行交易或提交重要信息
另外如果你发现某个网站有以下两样标志则表明该网站激活了服务器证书此时已建立了SSL连接你在该网站上提交的信息将会全部加密传输因此能确保你隐私信息的安全
1观察网址
观察要你提交个人信息页面的网址前是否带有https://标志这里的S代表安全网站
2网页状态栏是否有金色小锁
观察网页的状态栏中是否有一把金色小锁双击该锁会弹出该站点的服务器证书里面包含了真实站点的域名及证书有效期如果状态栏中没有金锁或者它是打开的那么表示你提交的信息将不会被加密
三发送安全邮件
数字证书最常见的应用就是发送安全邮件即利用安全邮件数字证书对电子邮件签名和加密这样即可保证发送的签名邮件不会被篡改外人又无法阅读加密邮件的内容现在我们以Outlook XP为例介绍安全发送邮件的方法
1邮件帐号与数字证书绑定
启动Outlook XP在主窗口点击菜单工具/选项/安全单击设置按钮弹出更改安全设置画面见图6输入安全设置名称lacl勾选默认安全设置点击选择为帐户绑定一个数字证书最后单击确定退出以后发送数字签名邮件时将使用该证书进行签名
图2 邮件帐号与数字证书绑定
2发送带数字签名的邮件
单击新建进入写邮件窗口开始撰写一封新邮件填上发件人收件人标题写好信点击工具栏上的选项按钮在邮件选项中点击安全设置按钮在弹出的窗口中见图7勾选为此邮件添加数字签名最后按发送把它发送出去
图3 发送带数字签名的邮件
当对方收到并打开该邮件时将看到数字签名邮件的提示信息在邮件内容窗口的右边有个红色的数字签名图标点击之可看到数字签名信息由此便可确认该邮件是你发出的并且中途没有被篡改过
图4 收信
3发送加密邮件
你必须首先获得对方的公钥然后才能给他发加密邮件
1获得对方公钥的方法
你可以让收件人先给你发送一份签名邮件来获取对方的公钥或者直接到电子商务安全认证中心的网站上查询并下载对方的公钥
2创建邮件并发送
加密邮件的发送方法与以上发送签名邮件的方法类似不过当你点击安全设置按钮在安全属性窗口中要勾选加密邮件内容和附件
|四对付网上投假票目前网上投票一般采用限制投票IP地址的方法来对付作假但是断线后重新上网你就会拥有一个新IP地址因此只要你不断上网和下网即可重复投票为了杜绝此类造假建议网上投票使用数字证书技术要求每个投票者都安装使用数字证书在网上投票前要进行数字签名没有签名的投票一律视为无效由于每个人的数字签名都是唯一的即使他不断上网下网每次投票的数字签名都会相同的因此无法再投假票
五使用代码签名证书维护自己的软件名誉
天威诚信提供了代码签名证书你可以利用代码签名证书给你的软件签名防止别人篡改了你的软件例如在你的软件中添加木马或病毒维护你的软件名誉
利用上文提到的微软Authenticode工具包其中有一个signcode.exe可以专门给代码签名能对32位的后缀为.exePE 文件.cab.dll .vbd和 .ocx 的文件进行数字签名给自己的程序签名方法
运行signcode.exe出现一个向导先选择你要签名的程序文件然后出现签名选项选择自定义右图8当提示选择使用的签名证书时按从文件选择按钮文件类型选择X.509选择你的签名证书lacl.cer按下一步然后点浏览安装私匙文件lacl.pvk最后在提示你加入时间戳时选择不加入时间戳
图5 使用代码签名证书维护自己的软件名誉
完成签名后你可以右击经过数字签名的代码文件然后选择属性/数字签名查看其签名和证书即可得知该软件是否为你发布的
六保护Office文档安全
Office可以通过数字证书来确认来源的可靠你可以利用数字证书对Office文件或宏进行数字签名从而确保它们都是你编写的没有被他人或病毒篡改过
1用数字证书进行宏的签名
宏测试完毕确认后再对宏进行签名打开包含要签名的宏方案的文件在工具/宏/Visual Basic编辑器/工程资源管理器中选择要签名的方案再点击工具/数字签名命令即可
如果要防止用户因意外修改宏方案而导致签名失效请在签发之前锁定宏方案您的数字签名只能说明您保证该方案是安全的并不能证明是您编写了该方案因此锁定宏方案不能防止其他用户利用另一个签名替换您的数字签名
2用数字证书对文档签名
打开要签名的Word 文档Office XP单击菜单工具/选项点击打开安全性选项卡见图9其中有个数字签名按钮单击之给该文件加上你的数字签名随之会弹出一个窗口要求添加你的数字证书单击添加按钮从你的数字证书中选择一个进行添加然后按确定返回现在你的数字证书就加到该文档中了
图6 用数字证书对文档签名
图7 签名
以后别人打开该文档单击工具/选项/安全性菜单在此处看到你的数字证书就知道该文档是你编写的因为有你的数字签名
为了防止别人修改你的文档资料你还应该在图9所示的画面中给文档添加一个修改权限密码即在修改权限密码一栏输入密码123最后按确定退出保存这样以后再次打开该文档时就会要求你输入这个修改权限密码假如你不知道密码就不能修改该文档只能以只读形式打开之
七为加密的NTFS分区制作钥匙
如果你的硬盘上有NTFS分区并且对该分区中的数据进行了加密那么应该及时备份密钥假如你没有这样做以后一旦重新安装系统你就会无法访问NTFS分区上的加密数据备份密钥的方法是
在IE中点击工具/Internet选项进入内容选项卡点击证书按钮在打开的证书窗口中选中要导出的证书单击导出按照向导的提示一路按下一步直至向导询问你是否导出私钥选择导出私钥即可其他的选项均保留默认设置最后输入该用户的密码和想要保存的路径并确认导出工作就完成了
导出的证书是一个以PFX 为后缀的文件以后你重装系统后可以找到该PFX 文件鼠标右击之并选择安装PFX系统将会弹出一个导入向导按照提示导入备份密钥这样即可打开之前加密的数据文件
八检查Windows是否为微软原版
如果你想知道自己的Windows是否为微软原版只要验证其核心文件是否被替换过即可那么如何知道核心文件未被替换过呢?你可以使用工具来检查这些文件的数字签名Windows XP/2000中有文件签名验证工具Windows 9x则提供了系统文件检查器使用这些工具你可以知道系统文件的数字签名状态假如它们都经过了数字签名则说明Windows未被篡改过是微软原版的下面我们以WindowsXP/2000为例介绍验证的方法
单击菜单开始/运行键入sigverif打开文件签名验证窗口然后点击开始按钮检查每个系统文件的数字签名过一会儿将显示一个画面见图10列出所有未经过数字签名的文件如果你发现列表中有winlogon.exelicdll.dll这两个文件那么你的Windows就被篡改过了否则即为微软原版的
图8 检查Windows是否为微软原版
九不再弹出签名验证警告
Windows XP自带的驱动程序都通过了微软的WHQL数字签名当你安装未经过微软数字签名的驱动程序时就会显示警告信息没有通过Windows徽标测试无法验证它同Windows XP的相容性如果要求不再弹出驱动程序签名验证警告你可以这样设置
单击开始/设置/控制面板/系统打开系统属性窗口切换到硬件选项页点击驱动程序签名按钮弹出一个窗口见图11选择忽略安装软件不用征求我的同意在系统管理员选项下选中将这个操作作为系统默认值应用复选框最后按确定退出
图9 不再弹出签名验证警告
十屏蔽插件安装窗口
众所周知用IE上网浏览时经常会要求你安装各种插件例如3721IE搜索伴侣百度等有些人需要安装这些插件假如你不想安装它们弹出的这些插件安装窗口就会让你非常烦恼其实使用Windows的证书机制把插件的证书安装到非信任区域即可屏蔽这些插件的安装窗口下面我们以屏蔽Flash播放插件为例加以说明
在弹出的Flash播放插件安装窗口中有个其发行者为在它下面有个发行者名称的链接即Macromedia点击该发行者链接会出现一个证书窗口选择不信任的证书的选项把证书安装到非信任区域点击确定这样以后就不会再弹出该插件安装窗口了