数字证书申请用户手册

1.如何在我的电脑上将中国数字认证网设置成为“受信任的根证书颁发机构”？中国数字认证网提供四种类型的数字证书：“测试证书”、“免费证书”、“标准证书”和“企业证书”，使用不同的证书需要安装相应的根证书，设置“受信任的根证书颁发机构”的实质就是安装根证书。访问中国数字认证网主页时，如果客户端没有安装根证书，系统会提示用户自动安装根证书，对于系统全部提示一定要选择确定安装（注意：浏览器Internet安全设置一定设置成默认的中级或以下安全级别，停止客户端的防火墙等工具中对ActiveX下载安装的拦截）。如果不能自动安装根证书可以采取以下方法手动安装根证书。从中国数字认证网主页选择下载相应的“根CA证书”，然后选“在文件的当前位置打开”。鼠标单击“确定”铵钮。选择“安装证书”。按照向导提示进行，在“根证书存储”对窗口选择“是(Y)”。根证书成功安装后成为“受信任的根证书颁发机构”。从浏览器的“工具”菜单中选择“Internet选项”，然后选择“内容”标签，鼠标单击“证书”，然后选择“受信任的根证书颁发机构”标签，列表中应该有相应的根证书。2.如何获得数字证书的序列号？证书成功申请后系统会返回您的证书“序列号”，需要提供证书的序列号。下载证书时选择“在文件的当前位置打开”在“证书”窗口的“详细信息”里可以看到证书的“序列号”。或将证书保存到磁盘，在“资源管理器”里鼠标左键双击证书文件，也可以打开“证书”窗口。如果证书下载后成功安装，从浏览器的“工具”菜单中选择“Internet选项”，然后选择“内容”标签，鼠标单击“证书”，然后选择“个人”标签，列表中应该有相应的根证书。鼠标左键双击相应的证书，也可以打开“证书”窗口。查看“序列号”。3.如何获得并保存数字证书？按照“如何获得数字证书的序列号？”介绍的方法打开证书窗口。选择所要证书，鼠标单击“导出”按钮。“私钥”为用户个人所有，不能给泄露其他人，否则别人可以用它已您的名义签名。如果是为了保留证书备而复制证书，选择“导出私钥”，如果为了给其他人您的“公钥”，为您发送加密邮件或其它用途，不要导出私钥。如果在申请证书时没有选择“标记密钥为可导出”，则不能导出私钥。输入私钥保护密码，如果在申请证书时没有选择“启用严格密钥保护”，没有密码提示。输入文件名，按提示进行操作。4.如何从数字证书文件中导入数字证书？按照“如何获得数字证书的序列号？”介绍的方法打开证书窗口。鼠标单击“导入”按钮。输入文件名，按提示进行操作。5.如何用OutLookExpress发送签名邮件？发送签名邮件前必须正确安装了自己的“电子邮件保护证书”（要使用的电子邮件必须与申请证书时填写的电子邮件一致）。如果要导入证书请参阅“如何从数字证书文件中导入数字证书？”或“如何用OutLookExpress发送加密邮件？”。从OutlookExpress“工具”菜单中选择“帐号”。选择帐号，鼠标单击“属性”按钮。选择“安全”标签，鼠标单击签名标识中的“选择”按钮。选择证书，鼠标单击“确定”按钮。发送邮件时从“工具”菜单中选择“签名”，收件人地址栏后面出现“签名”标志。输入对方邮件地址及其它，发送邮件。6.如何用OutLookExpress发送加密邮件？发送加密邮件前必须正确安装了对方的“电子邮件保护证书”，只要请对方用他的“电子邮件保护证书”给你发送一个签名邮件，证书会自动安装，并与对方Email地址绑定，否则就要手工安装对方“电子邮件保护证书”（只含有公有密钥，可以向对方索取）。从OutlookExpress“工具”菜单中选择“选项”。鼠标单击“数字标识”按钮。鼠标单击“导入”按钮，选择对方数字证书。鼠标单击“下一步”按钮，鼠标单击“浏览”按钮，选择“其他人”。鼠标单击“下一步”按钮，安装对方数字证书。发送邮件时从“工具”菜单中选择“加密”，收件人地址栏后面出现“加密”标志。输入对方邮件地址及其它，发送邮件。7.如何进行代码签名？如果是对需要从网上自动下载安装的ActiveX控件进行签名，必须在ActiveX控件的程序代码中实现“初始化安全”和“脚本安全”两个接口，具体方法可查阅COM有关资料。ActiveX控件能否自动下载与“代码签名证书”的有效期有关，当“代码签名证书”失效后，ActiveX控件不能继续下载，但已经下载的ActiveX控件仍然可以继续有效使用，因此，用户应当根据需要确定代码签名证书的有效期（企业证书可以支持最长10年的有效期）。首先从中国数字认证网申请“代码签名证书”。下载代码签名工具“signcode.exe”。运行“signcode.exe”，选择要签名的文件，鼠标单击“下一步”。鼠标单击“从存储区选择”按钮。选择数字证书，鼠标单击“确定”按钮，按向导提示进行。如果需要添加时间戳，在“时间戳服务URL”编辑框中填：“”。按向导提示进行。8.如何设置服务器证书？以IIS5为例，打开Web站点的“属性”页，选择“目录安全性”标签，鼠标单击“服务器证书”。选择“创建一个新证书”，鼠标单击“下一步”按钮。按向导提示进行，注意“公用名称”为web站点域名。输入“证书请求文件名”，按向导提示进行，产生服务器证书申请文件。从中国数字认证网申请证书，选择“使用PKCS10文件申请证书”，将刚才产生的证书申请文件内容全部拷贝到“证书申请”编辑框中，选择“通用证书”，开始申请证书。得到证书后保存为证书文件。打开Web站点的“属性”页，选择“目录安全性”标签，鼠标单击“服务器证书”，选择“处理挂起的请求并安装证书”，鼠标单击“下一步”按钮。选择证书文件，按向导提示安装服务器证书。打开Web站点的“属性”页，选择“目录安全性”标签，鼠标单击“编辑”按钮，选择“申请安全通道”。“忽略客户证书”选项，可以使用“http”和“https”访问服务器。当使用“https”访问服务器时，只在客户与服务器之间建立加密通道，保证数据传输安全，只对服务器身份进行验证，不提示用户出示客户证书，不对客户用户身份进行验证。“接受客户证书”选项，可以使用“http”和“https”访问服务器。当使用“https”访问服务器时，在客户与服务器之间建立加密通道，保证数据传输安全，对服务器身份进行验证，同时提示用户出示客户证书，用户没有证书也可以登录系统（可以在程序代码中判断用户证书序列号从而验证用户身份）。“申请客户证书”选项，只能使用“https”访问服务器。当使用“https”访问服务器时，在客户与服务器之间建立加密通道，保证数据传输安全，对服务器身份进行验证，同时提示用户出示客户证书，用户没有证书不能登录系统。如果选择了“接受客户证书”或“申请客户证书”选项，需要将根证书安装到服务器的本地计算机，否则在提示用户选择客户证书的证书列表框内找不到客户证书。鼠标单击“确定”按钮，完成服务器设置。确认Web站点的属性中“SSL”端口为443。访问有服务器证书的安全站点时应用“https”代替“http”，浏览器状态栏有一把锁，鼠标双击可以显示服务器证书。9.如何进行客户身份认证？首先将根证书安装到服务器本地计算机上。以IIS5为例，正确设置服务器证书。一般情况下是在程序代码中验证客户证书，如果用户比较少，可以采用如下方法。从中国数字认证网申请一个“客户身份验证证书”。然后导出客户证书，注意：不要导出“私钥”，导出时选择“Base64编码X.509”格式。打开Web站点的“属性”页，选择“目录安全性”标签，鼠标单击“匿名访问和安全控制”中的“编辑”按钮。不选“匿名访问”，鼠标单击“确定”按钮。回到Web站点属性页，鼠标单击“安全通信”中的“编辑”按钮，选择“申请安全通道”，“申请客户证书”，“启用客户证书映射”，鼠标单击“编辑”按钮。鼠标单击“添加”按钮。为客户证书选择帐户和密码，鼠标单击“确定”，完成证书映射。访问需要客户证书的服务器时，浏览器提示您出示要您的客户证书。10.如何将根证书安装到本地计算机？这部分内容只对需要进行客户认证的服务器有用，即：只有当服务器需要对访问的用户进行身份认证时（需要用户在访问服务器时出示自己的证书），才需要将根证书安装到服务器的本地计算机。从Window桌面选择“开始”，“运行”，在“运行”窗口里输入“mmc”。“确定”。从“控制台”菜单里选择“添加/删除管理单元”。鼠标单击“添加”按钮。选择“证书”，鼠标单击“添加”按钮。选择“计算机帐户”，鼠标单击“下一步”。选择“本地计算机”，鼠标单击“完成”。关闭其它窗口后，在“控制台”窗口，选择“受信任的根证书颁发机构”中的“证书”，从“操作”菜单中选择“所有任务”，“导入”。按照提示导入根证书。11.如何在IE中设置服务器证书是否撤消验证？从IE“工具”菜单选“Internet选项”，选“高级”，选定“检查服务器证书是否撤消”。12.如何在OutlookExpress中设置电子邮件保护证书是否撤消验证？从OutlookExpress“工具”菜单选“选项”，选“安全”。鼠标单击“高级”按钮，选择“在联机时”“撤消检查”。13.如何在程序代码中验证客户证书？首先要正确设置服务器证书，并将根证书安装到服务器本地计算机。将证书序列号保存到数据库（一般是在用户表里增加一个证书序列号字段，代替用户名/密码），通过服务器环境变量“Request.ServerVariables(CERT_SERIALNUMBER)”得到证书序列号，然后根据证书序列号判断用户身份（代替用户名/密码验证）。14.如何在用户的客户机上自动安装根证书？凡是使用证书的计算机都要安装正确的根证书，为了避免用户手动安装根证书的麻烦，可以在您的主页上写一段代码，当用户访问您的主页时，系统自动提示安装根证书。方法1、首先下载文件RootCertCA365.cab，并放您的网站上。仿照这个文件的写法修改您的主页，index.asp（注意：一定要讲这个文件保存到本地，然后再打开，如果直接在浏览器内打开，需要用浏览器的“察看源文件”功能才能看到这些代码）。方法2、首先下载文件xenrlinf.cab和capicom.cab，并放您的网站上。仿照这个文件的写法修改您的主页，index.asp（注意：一定要讲这个文件保存到本地，然后再打开，如果直接在浏览器内打开，需要用浏览器的“察看源文件”功能才能看到这些代码）。