Zhuotong Nan ([email protected])

使用数字证发送安全电子邮件

数字证书是保证电子邮件安全的重要手段。用在email里，主要是两个作用，1. 用数字签名表明你的身份，证明这个邮件是你发出去的，2. 对内容和附件进行加密，确保只能被指定收件人阅读。

首先我们需要申请一个数字证书。多数是收费的。但也有一些优秀的证书认证机构提供个人用免费证书。

申请证书

我申请的是StartSSL的免费个人证书。网址是 https://www.startssl.com。申请其中的StartSSL Free (Class 1)级别证书。

点进 https://www.startssl.com/?app=11&action=regform 这个页面，进行注册。

在其中填写真实的内容，真实很重要，否则可能不能通用。点Continue，将发送邮件填写的e-mail里。接下去的网页需要填写一个代码。这个代码是发到刚才填写的邮箱里。

收到的email类似于下面，里面有一个代码。比如，

其中GMrBfhNfSgP4TcED 便是需要的验证码。将之填写continue后出现的那个页面里。继续Continue。出现等待认证的信息。这可能需要一些时间，等认证通过后，此公司会发送一个邮件过来，表明已经通过，并提供一个链接，点击此链接继续，以生成我们需要的数字证书。此邮件如，

点以上链接进入获取证书的页面。注意这里面仍然有一个代码，如果需要验证，用这个代码。进到页面后，会提示生成相关的钥匙需要一些时间。等生成完成后，安装到浏览器。比如我用的Chrome，页面上会出现一个视图，说明生成的Key已经被安装在Chrome里。

导出证书

生成的证书是安装到浏览器里。我们需要导出并保存，以便在电子邮件客户端里进行使用。在Chrome里，点击“设置”，在设置页面，点击“显示高级设置”，下拉到页底，可以看到HTTPS/SSL 下的管理证书按钮。

点击管理证书，可以看到我们已经安装的证书。点击 Export… 导出。在导出向导里，选择 Yes, export the private key。此后在 Include all certificates in the certifcation path if possible 和 Export all extended properties 两个上打勾，点下一步。

因为私人密钥十分关键，所以必须使用密码保护，以防止被人未经授权安装。在此页面上，敲入密码，并重复。注意保存这个密码，否则此证书将来可能不能被安装。

此后指定导出证书的保存位置和文件名。导出完成。

安装到Outlook 2010

打开Outlook 2010，在文件选项卡上，选项 > 信任中心 > 信任中心设置 > 电子邮件安全。

在导入/导出里导入前面步骤得到的数字证书。

导入文件里选择上一步骤保存的证书文件。填写上一步骤设定的密码。给定一个数字标识名称（可以自己取，比如以自己的名字命名）。

导入成功后，关闭Outlook再打开，进入“电子邮件安全性”，可以看到 默认设置中已经出现刚才导入的证书设置。如，

在“给待发邮件添加数字签名”上打勾。由于国内很少人用数字签名，所以不建议在“加密待发邮件的内容和附件”上打勾。当新邮件需要加密时，有选项可以单另加密即可。

测试证书

1. 测试数字签名。

新建电子邮件，在subject里填入 test。发给自己的邮箱。在“选项”里确认“签署”已经选定。

发送。

单击接收邮件。可以收到刚才发送的新邮件。比如我的例子，

可以看到签名者，右侧还有证书的标记。表明，这个邮件毫无疑问是来自 [email protected] 这个人。别人不可能发出这个邮件（因为别人不可能有此私钥）。

点击认证图标，可以看到数字签名的相关信息。其中包括发件人的公共钥匙。

2. 测试发送加密邮件。

我们只能给拥有数字证书的联系人发送加密邮件。其中的原理是这样的，我们使用收件人的公共钥匙，对发送的信息进行加密，收件人收到后，使用他的私钥进行解密阅读。

那么我们如何得到对方的公共钥匙呢。比如我们的第1个测试，加了签署的发信人一并附送了他的公共钥匙。我们要做的是将有数字签名的联系人保存下来。如果已有此人存在，Outlook会自动合并进已有联系人。

把数字签名存到联系人后，我们就可以给该联系人发送加密邮件。

新建邮件，在选项卡里 选择“加密”(即签署上方）。点击发送即可。如果收件人没有数字证书，那么会提示加密问题，如，

这时仍然可以选择不加密发送。

比如我对自己进行加密发送，收到的邮件如，

注意到加密的标记（锁），说明这个邮件是加密的，只有我能够阅读。