雙證書體系keyusage擴展——Outlook使用證書發(fā)送加密簽名郵件

網(wǎng)絡(luò)認證第十二講作業(yè)

為冀州等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及冀州網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站設(shè)計、網(wǎng)站制作、冀州網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

一．作業(yè)要求
測試郵件客戶端軟件（如Outlook、Foxmail等）是否支持key usage擴展
二．使用工具
OpenSSL，OutLook，F(xiàn)oxMail
三．實驗過程

1. 使用OpenSSL生成證書
   (1). 首先生成私鑰pravate.pem
   在命令行中鍵入：genrsa -des3 -out private.pem 2048，使用RSA算法生成2048位私鑰，并使用3DES算法來加密key。
   
   輸入DES的加密密鑰之后，生成private.pem文件
   
   (2). 生成帶有擴展的證書
   實驗要求測試郵件客戶端是否支持key usage擴展，所以生成兩個證書加以區(qū)分測試。cacert2.crt的key usage擴展為Digital Signature, Non-Repudiation, Key Encipherment (e0)，證書可以用來加密和簽名；cacert3.crt的key usage擴展為Digital Signature, Non-Repudiation，沒有了加密功能，只能用來簽名。
   在openssl.cnf文件中修改[v3_req]的keyUsage字段內(nèi)容：
   cacert2.crt的配置 → keyusage= nonRepudiation, digitalSignature, keyEncipherment
   cacert3.crt的配置 → keyusage= nonRepudiation, digitalSignature
   

在命令行中鍵入：req -new -x509 -days 3650 -key private.pem -out cacert2.crt -config openssl.cnf -extensions v3_req，生成帶有擴展的證書。同理，修改cnf配置文件后生成cacert3。

證書生成時要求輸入證書信息，包括國家、組織名稱、郵箱等，在此處輸入的郵箱地址要與之后登陸測試的郵箱地址一致。
生成證書如下圖所示，圖左為cacert2.crt帶有keyEncipherment加密功能的證書，圖右為cacert3.crt不可用于加密的證書：

(3). 生成pfx文件
使用pkcs12將證書和對應(yīng)的私鑰信息進行打包，以口令保護私鑰，生成pfx文件，以便將證書導(dǎo)入計算機的“個人”證書中，并在郵件客戶端配置。
在命令行中鍵入：pkcs12 -export -out cacert2.pfx -inkey private.pem -in cacert2.crt

輸入之前用于3DES算法用于加密私鑰的密鑰，驗證通過后，再設(shè)置導(dǎo)出私鑰的口令。分別生成cacert2.pfx和cacert3.pfx文件。

2. 測試OutLook是否支持key usage擴展
   為了在OutLook中配置個人證書，首先要在瀏覽器中，將證書導(dǎo)入“個人”，并在“受信任的根證書頒發(fā)機構(gòu)”中信任自己生成證書的頒發(fā)者。
   
   (1). keyusage= nonRepudiation, digitalSignature, keyEncipherment
   首先選擇cacert2.crt（帶有Key Encipherment可用于加密的證書）配置OutLook，該證書既可以用于簽名也可以用于加密，如下圖所示：
   
   然后發(fā)送加密簽名測試郵件，收件人“xx的is”地址為“xxxxx@is.xx.xx”，事先已經(jīng)在聯(lián)系人中配置好該收件人的證書。在發(fā)送時選擇加密和簽署，如下圖所示：

   
   收件人“xx的is”成功收到并打開該郵件，而且該郵件是被加密和簽名過的，如下圖所示：
   
   (2). keyusage= nonRepudiation, digitalSignature
   再從OutLook配置中更換證書，選擇cacert3.crt（沒有Key Encipherment不可用于加密的證書）。選擇簽名證書時，彈出了兩個可選證書，其中包括cacert3.crt，該證書可用于簽名。
   
   然而再選擇加密證書，彈出選擇證書中只有一個證書，無法選擇cacert3.crt，可看出OutLook已經(jīng)識別出來cacert3.crt不帶有keyEncipherment的Key Usage擴展，所以無法用于加密。
   
   再嘗試發(fā)送加密并簽名的郵件，無法發(fā)送郵件，提示沒有可用于加密的證書。

   嘗試發(fā)送只簽名不加密的郵件，可以發(fā)送成功。

四．實驗結(jié)論
本次實驗測試了OutLook客戶端。
OutLook支持Key Usage擴展，當(dāng)證書Key Usage擴展帶有nonRepudiation, digitalSignature, keyEncipherment時，證書可以用于發(fā)送加密并簽名的郵件，而不帶keyEncipherment時，OutLook無法使用證書發(fā)送加密郵件。
FoxMail 7.2版本并不支持數(shù)字證書配置，更無從談起是否支持Key Usage擴展了。但是該客戶端擁有加密郵件的功能，保證了郵件機密性，卻無法保證郵件的真實性完整性。可見OutLook在郵件安全方面做得比FoxMail全面并專業(yè)。

新聞標(biāo)題：雙證書體系keyusage擴展——Outlook使用證書發(fā)送加密簽名郵件
標(biāo)題路徑：http://muchs.cn/article20/jpejjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營銷型網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司、手機網(wǎng)站建設(shè)、外貿(mào)建站、外貿(mào)網(wǎng)站建設(shè)、服務(wù)器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)