电子商务安全实验课件

市场营销系E-mial:songqj@126.com2010.5ELECTRONICBUSINESS徐州师范大学管理学院电子商务安全实验--数字证书应用8/14/20230徐州师范大学管理学院·版权所有2005.2市场营销系ELECTRONICBUSINESS徐州师范大主要内容一、数字证书申请与安装二、收发安全的电子邮件三、网站服务器与数字证书8/14/20231徐州师范大学管理学院·版权所有2005.2主要内容8/4/20231徐州师范大学管理学院·一、数字证书申请与安装

1.数字证书的申请与安装2.数字证书的查看8/14/20232徐州师范大学管理学院·版权所有2005.2一、数字证书申请与安装8/4/20232徐州师范大学管理学1.数字证书的申请与安装下面以获得免费数字证书为例，介绍数字证书的申请过程。目前国内有很多CA中心提供试用型数字证书，其申请过程在网上即时完成，并可以免费使用。下面介绍两个可免费申请的网站1.网证通：/（快照）。2.天威诚信：/2_services.asp8/14/20233徐州师范大学管理学院·版权所有2005.21.数字证书的申请与安装下面以获得免费数字证书为例，介绍数字下面以“网证通”为例，介绍“个人数字证书”的申请过程：登陆网证通：/后，点击“证书申请”，选择“试用型个人数字证书申请”注意：注意只有安装了根证书（证书链）的计算机，才能完成后面的申请步骤和正常使用读者在CA中心申请的数字证书。8/14/20234徐州师范大学管理学院·版权所有2005.2下面以“网证通”为例，介绍“个人数字证书”的申请过程：注意：8/14/20235徐州师范大学管理学院·版权所有2005.28/4/20235徐州师范大学管理学院·版权所有2005.8/14/20236徐州师范大学管理学院·版权所有2005.28/4/20236徐州师范大学管理学院·版权所有2005.8/14/20237徐州师范大学管理学院·版权所有2005.28/4/20237徐州师范大学管理学院·版权所有2005.8/14/20238徐州师范大学管理学院·版权所有2005.28/4/20238徐州师范大学管理学院·版权所有2005.8/14/20239徐州师范大学管理学院·版权所有2005.28/4/20239徐州师范大学管理学院·版权所有2005.8/14/202310徐州师范大学管理学院·版权所有2005.28/4/202310徐州师范大学管理学院·版权所有20052.数字证书的查看那么数字证书在哪里呢？其实，微软的IE浏览器自带一个数字证书管理器，通过这个管理器我们可以查看数字证书。首先在打开InternetExplorer，在InternetExplorer的菜单上，单击“工具”菜单中的“Internet选项”。选取“内容”选项卡，点击“证书”按钮来查看读者信任的当前证书的列表。点击“个人”选项卡可以查看读者已经申请的个人数字证书；下面是申请的免费数字证书，读者朋友可以参考。如图3所示。8/14/202311徐州师范大学管理学院·版权所有2005.22.数字证书的查看那么数字证书在哪里呢？其实，微软的IE浏览图38/14/202312徐州师范大学管理学院·版权所有2005.2图38/4/202312徐州师范大学管理学院·版权所有2选定读者要查看的个人数字证书，然后单击“查看”按钮，可以查看证书的详细信息。如图4是一个数字证书的详细信息列表。8/14/202313徐州师范大学管理学院·版权所有2005.2选定读者要查看的个人数字证书，然后单击“查看”按钮，可以图48/14/202314徐州师范大学管理学院·版权所有2005.2图48/4/202314徐州师范大学管理学院·版权所有2有了数字证书以后，我们可以进行发送安全的电子邮件，实现网上邮件的加密和签名电子邮件，它还可以应用于公众网络上的商务活动和行政作业活动，应用范围涉及需要身份认证及数据安全的各个行业，如访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税、网上购物等网上的安全电子事务处理和安全电子交易活动等。8/14/202315徐州师范大学管理学院·版权所有2005.2有了数字证书以后，我们可以进行发送安全的电子邮件，实现网上邮随着电子商务和电子政务的不断发展，数字证书的颁发机构CA中心将作为一种基础设施为电子商务的发展提供可靠的保障。所以，网络发展的越快，人们对网络安全的要求也越来越高，了解数字证书并学会一些数字证书的操作将有利于我们更加安全的在网上冲浪。8/14/202316徐州师范大学管理学院·版权所有2005.2随着电子商务和电子政务的不断发展，数字证书的颁发机构CA中心二、收发安全的电子邮件1.在OutlookExpress中设定邮件2.OutlookExpress中设置邮箱与数字证书的绑定3.收发签名的电子邮件8/14/202317徐州师范大学管理学院·版权所有2005.2二、收发安全的电子邮件8/4/202317徐州师范大学管理学二、收发安全的电子邮件收发安全的电子邮件，就是指运用数字证书来收发加密的和数字签名的邮件，以保证电子邮件传输中的机密性、完整性和不可否认性，确保电子邮件通信各方身份的真实性。证书可以存贮在硬盘、USB中。安全电子邮件利用公钥算法保证你的签名邮件不会被篡改，而你的加密邮件除了邮件接收者以外(甚至你自己)的任何人无法阅读其中的内容。注意：证书中的邮件地址必须同绑定的邮件帐号一致。8/14/202318徐州师范大学管理学院·版权所有2005.2二、收发安全的电子邮件收发安全的电子邮件，就是指运用数字证书1.在OutlookExpress中设定邮件OutlookExpress6（OE)是常用的客户端电子邮件收发软件，能够自动查找安装在计算机上的数字证书，将它们同邮件帐户相关联，并自动将别人发送给您的数字证书添加到通讯簿中（也可手动添加完成）。在OE中，通过把邮箱和数字证书绑定后，就可以对邮件进行签名和加密了。8/14/202319徐州师范大学管理学院·版权所有2005.21.在OutlookExpress中设定邮件Outloo签名一个电子邮件就意味着将你的数字证书附加到电子邮件中，接收方就可以确定你的真实身份。签名提供了验证功能，但无法保护信息内容的隐私，第三方有可能看到其中的内容。加密邮件意味着只有指定的收信人才能阅读该邮件的内容。为了发送签名邮件，你必须有自己的数字证书；为了加密邮件，你必须有收信人的数字证书。8/14/202320徐州师范大学管理学院·版权所有2005.2签名一个电子邮件就意味着将你的数字证书附加到电子邮件中，接收1.在OutlookExpress中设定邮件为了能用Outlook收发你的邮件，应进行一些设置操作，下面以Outlook6.0为例进行介绍：（1）启动OutlookExpress。点击“工具”中的“帐户”；8/14/202321徐州师范大学管理学院·版权所有2005.21.在OutlookExpress中设定邮件为了能用Ou（2）在“帐户”的页面点击“添加”，再选择“邮件”；8/14/202322徐州师范大学管理学院·版权所有2005.2（2）在“帐户”的页面点击“添加”，再选择“邮件”；8/4（3）选择邮件后出弹出“Internet连接向导”；首先输入您的“显示名”，如：126免费邮。此姓名将出现在您所发送邮件的“发件人”一栏。然后单击“下一步”按钮；8/14/202323徐州师范大学管理学院·版权所有2005.2（3）选择邮件后出弹出“Internet连接向导”；首先输（4）在“Internet电子邮件地址”窗口中输入您的邮箱地址，如：username@163.com，再单击“下一步”按钮；8/14/202324徐州师范大学管理学院·版权所有2005.2（4）在“Internet电子邮件地址”窗口中输入您的邮箱（5）在“接收邮件（pop、IMAP或HTTP）服务器”字段中输入。在“发送邮件服务器(SMTP)”字段中输入，然后单击“下一步”；8/14/202325徐州师范大学管理学院·版权所有2005.2（5）在“接收邮件（pop、IMAP或HTTP）服务器”字段（6）在“帐户名”字段中输入您的126免费邮用户名（仅输入@前面的部分）。在“密码”字段中输入您的邮箱密码，然后单击“下一步”；8/14/202326徐州师范大学管理学院·版权所有2005.2（6）在“帐户名”字段中输入您的126免费邮用户名（仅输（7）点击“完成”；8/14/202327徐州师范大学管理学院·版权所有2005.2（7）点击“完成”；8/4/202327徐州师范大学管理学（8）在Internet帐户中，选择“邮件”选项卡，选中刚才设置的帐号，单击“属性”；8/14/202328徐州师范大学管理学院·版权所有2005.2（8）在Internet帐户中，选择“邮件”选项卡，选中（9）在属性设置窗口中，选择“服务器”选项卡，勾选“我的服务器需要身份验证”；（10）点击“确定”。8/14/202329徐州师范大学管理学院·版权所有2005.2（9）在属性设置窗口中，选择“服务器”选项卡，勾选“我的服务如果要在服务器上保留邮件副本，则在帐户属性中，单击“高级”选项卡。勾选“在服务器上保留邮件副本”。此时下边设置细则的勾选项由禁止（灰色）变为可选（黑色）。如果不勾选，OE收信后，邮箱的发件箱中的信件将被清除！

重要说明！8/14/202330徐州师范大学管理学院·版权所有2005.2重要说明！8/4/202330徐州师范大学管理学院·版权所有至此就完成OutlookExpress配置，可以收发邮件了。8/14/202331徐州师范大学管理学院·版权所有2005.2至此就完成OutlookExpress配置，可以收发邮件163信箱的设置图6OutlookExpress163邮箱设置8/14/202332徐州师范大学管理学院·版权所有2005.2163信箱的设置图6OutlookExpress12.OutlookExpress中设置邮箱与数字证书的绑定在OutlookExpress6.0单击菜单中的“工具”，选择“账号”，选取“邮件”选项卡中的用于发送安全电子邮件的邮件账号，即刚才建立的账号“宋庆军”，然后单击“属性”。如图7所示。8/14/202333徐州师范大学管理学院·版权所有2005.22.OutlookExpress中设置邮箱与数字证书的绑图78/14/202334徐州师范大学管理学院·版权所有2005.2图78/4/202334徐州师范大学管理学院·版权所有2

选择上面的“安全”标签，可以看到“签署证书”和“加密首选项”两栏。通过相关设置，我们可以进行邮件的签署和加密。如图8所示。图88/14/202335徐州师范大学管理学院·版权所有2005.2选择上面的“安全”标签，可以看到“签署证书”继续上图的设置，“签名证书”项后，点击“选择”按钮。可以看到我们在/上面申请的证书。选择你的数字证书，点击“确定”完成邮箱与证书的绑定，读者也可以点击“查看证书”，了解自己证书的详细信息。如下图。8/14/202336徐州师范大学管理学院·版权所有2005.2继续上图的设置，“签名证书”项后，点击“选择”按钮。可以看到8/14/202337徐州师范大学管理学院·版权所有2005.28/4/202337徐州师范大学管理学院·版权所有2005注意：如果点击“选择”按钮，没有相关的证书弹出来，请检查以下几点：（1）你的证书是否已经正确安装且没有过期。如果过期，请检查电脑系统的日期、时间是否正确，重新申请。）（2）确认一下在OutlookExpress中所设置的邮箱与你在申请数字证书时所提供的邮箱一致。查看你在申请数字证书时所提供的邮箱方法：在InternetExplorer中，依次点击“工具”中的“Internet选项”，选择“内容”选项卡中的“证书”，选中你的数字证书，点击“查看”，找到“详细信息”中的“主题”，就可以看到邮箱了。8/14/202338徐州师范大学管理学院·版权所有2005.2注意：如果点击“选择”按钮，没有相关的证书弹出来，请检查以下按照同样的方法，把“加密首选项”中把你的证书选中。如图9所示。点击确定。就可以准备发送加密电子邮件了。图98/14/202339徐州师范大学管理学院·版权所有2005.2按照同样的方法，把“加密首选项”中把你的证书选中。如图9所示3.发送签名的电子邮件发送加密邮件前必须先获得接收方的数字证书（即公约），为些需先让接收方给你发一份签名邮件来获取，或者直接到电子商务安全认证中心的网站上面去查询下载来获取对方的数字证书。发送签名邮件：启动OutlookExpress6.0，点击“新邮件”，撰写新邮件。同时选中右上方的“签名”选项。如图10所示。8/14/202340徐州师范大学管理学院·版权所有2005.23.发送签名的电子邮件发送加密邮件前必须先获得接收方的数字图108/14/202341徐州师范大学管理学院·版权所有2005.2图108/4/202341徐州师范大学管理学院·版权所有发送签名电子邮件点击“发送”，签名邮件发送成功。当收件人收到并打开有数字签名的邮件时，将看到数字签名邮件的提示信息，按“继续”按钮进行解密后，才可阅读到该邮件的内容。如图11所示。8/14/202342徐州师范大学管理学院·版权所有2005.2发送签名电子邮件8/4/202342徐州师范大学管理学院·版图118/14/202343徐州师范大学管理学院·版权所有2005.2图118/4/202343徐州师范大学管理学院·版权所有接收签名电子邮件若邮件在传输过程中被他人篡改或发信人的数字证书有问题，将出现“安全警告”提示。收到邮件后可以看到，邮件的右边中间有一个小图标，点击它，可以看到相关的数字证书信息，包括把查看他的相关信息，把发信人的数字证书添加到自己的通讯簿（获得了发件的数字标识）。如图12所示。

OE6中在收到一封签名的邮件后，可自动获得发信人的数字证书，无需手动添加。说明8/14/202344徐州师范大学管理学院·版权所有2005.2接收签名电子邮件若邮件在传输过程中被他人篡改或发信人的数字证图128/14/202345徐州师范大学管理学院·版权所有2005.2图128/4/202345徐州师范大学管理学院·版权所有8/14/202346徐州师范大学管理学院·版权所有2005.28/4/202346徐州师范大学管理学院·版权所有20058/14/202347徐州师范大学管理学院·版权所有2005.28/4/202347徐州师范大学管理学院·版权所有2005发送加密邮件的方法：与发送签名邮件的方法类似。收取电子邮件实际上就是一个解密的过程，算法已经隐藏在后台运行了。至此完成了收发安全的电子邮件的操作。8/14/202348徐州师范大学管理学院·版权所有2005.2发送加密邮件的方法：8/4/202348徐州师范大学管理学院三、网站服务器与数字证书1.http与https的相关知识2.申请服务器证书3.获得服务器证书和安装服务器证书4.服务器证书的设置和服务器的访问四、利用数字证书进行代码签名8/14/202349徐州师范大学管理学院·版权所有2005.2三、网站服务器与数字证书8/4/202349徐州师范大学管理三、网站服务器与数字证书由于WindowsNT系统的容易维护，很多单位或者ISP都采用它，大部分是做WEB服务器使用。虽然IIS存在很多新的漏洞和安全问题，但只要我们做好合理的安全配置，还是可以避免很多安全隐患的。因此，本文选择IIS服务器来测试数字证书。8/14/202350徐州师范大学管理学院·版权所有2005.2三、网站服务器与数字证书8/4/202350徐州师范大学管理1.http与https的相关知识简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动，8/14/202351徐州师范大学管理学院·版权所有2005.21.http与https的相关知识8/4/202351徐州对于使用交换机来组网的网络来说虽然安全威胁性要小很多，但很多时候还是会有安全突破口，比如没有更改交换机的默认用户和口令，被人上去把自己的网络接口设置为侦听口，依然可以监视整个网络的所有活动。8/14/202352徐州师范大学管理学院·版权所有2005.2对于使用交换机来组网的网络来说虽然安全威胁性要小很多，但很多除了匿名访问、基本验证和WindowsNT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（SecuritySocketLayer）安全机制使用数字证书。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https://，而不是http://。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。8/14/202353徐州师范大学管理学院·版权所有2005.2除了匿名访问、基本验证和WindowsNT请求/响应方式外

使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。8/14/202354徐州师范大学管理学院·版权所有2005.28/4/202354徐州师范大学管理学院·版权所有2002.申请服务器证书首先，在Windows2000中打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。比如选择“默认web站点”，点击右键，在弹出的菜单中选择“属性”，出现属性对话框。找到“目录安全性”对话框。如果以前从未用过这项，“编辑”显示为灰色。如图13所示。8/14/202355徐州师范大学管理学院·版权所有2005.22.申请服务器证书8/4/202355徐州师范大学管理学院图138/14/202356徐州师范大学管理学院·版权所有2005.2图138/4/202356徐州师范大学管理学院·版权所有选择“服务器证书”按钮，根据服务器证书的状态，选择“下一步”。在出现的选项中，选择“创建一个新证书”。现在可以准备证书请求了。点击“下一步”。在这一步，要选择私钥的长度，建议选能力范围内能选的最大值。如图14所示。8/14/202357徐州师范大学管理学院·版权所有2005.28/4/202357徐州师范大学管理学院·版权所有2005图148/14/202358徐州师范大学管理学院·版权所有2005.2图148/4/202358徐州师范大学管理学院·版权所有如果我们已经产生了一对密钥。私钥将存储在机器上。这些信息将显示在证书上，并将说明这个密钥的所有者。接着输入组织信息和公钥信息。然后输入公用名称。注意“公用名称”是用来区分不同证书的最好方法。在SSL服务器证书的情况下，一般输入主机的域名，比如即可。如图15所示。8/14/202359徐州师范大学管理学院·版权所有2005.2如果我们已经产生了一对密钥。私钥将存储在机器上。这些信息将显图158/14/202360徐州师范大学管理学院·版权所有2005.2图158/4/202360徐州师范大学管理学院·版权所有接着输入地理信息。选择存储证书请求的文件，选择一个容易找到的位置，用写字板打开这个文件，拷贝并粘贴在我们的申请页面的“证书请求”一栏中。一旦请求被提交，将不再需要这个文件。最后产生申请的摘要信息，点击“下一步”，完成申请步骤。如图16所示。8/14/202361徐州师范大学管理学院·版权所有2005.2接着输入地理信息。8/4/202361徐州师范大学管理学院·图168/14/202362徐州师范大学管理学院·版权所有2005.2图168/4/202362徐州师范大学管理学院·版权所有当证书请求产生之后，会被保存为一个使用默认文件名（如certreq.txt）或您指定文件名的文本文件，存储在服务器的硬盘上。使用NotePad或其他ASCII文本编辑器打开证书请求文件，可以查看证书请求的内容。注意，不能用Word或其他文字处理软件打开证书请求文件，因为这些软件会在证书请求文件中插入格式控制符。

8/14/202363徐州师范大学管理学院·版权所有2005.2当证书请求产生之后，会被保存为一个使用默认文件名（如cert3.获得服务器证书和安装服务器证书获得服务器证书的方法和本文中获得个人数字证书的方法有点类似。需要注意的是，要保存好刚才的申请文件，在申请的过程中需要使用到这个文件，而且这个文件只能使用一次，而且在申请的时候一定要把证书请求复制到文本框，具体可以登陆/apply_srv/srv_root.asp这个站点按照上面的提示进行，最后应该下载到一个后缀名为.cer的服务器证书文件。本例中，根据产生的受理号和密码，可以下载一个server.cer文件。8/14/202364徐州师范大学管理学院·版权所有2005.23.获得服务器证书和安装服务器证书获得服务器证书的方法和本安装证书的时候，在Windows2000中打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。还是选择“目录安全性”，选择“服务器证书”，现在我们发现，服务器已经挂起了一个证书请求。根据证书向导，处理挂起的请求并安装证书。如图17所示。8/14/202365徐州师范大学管理学院·版权所有2005.28/4/202365徐州师范大学管理学院·版权所有2005图178/14/202366徐州师范大学管理学院·版权所有2005.2图178/4/202366徐州师范大学管理学院·版权所有点击“下一步”，输入刚才申请到的server.cer文件的路径和名称。继续“下一步”，可以得到摘要信息。如图18所示。单击“下一步”，完成服务器证书的安装。图188/14/202367徐州师范大学管理学院·版权所有2005.2点击“下一步”，输入刚才申请到的server.cer文件的路4.服务器证书的设置和服务器的访问

在Windows2000中打开Internet信息服务管理器，然后打开要为之申请证书的站点的属性。选择“目录安全性”，选择“服务器证书”，我们发现，现在下方的三个按钮都能够使用了。如图19所示。8/14/202368徐州师范大学管理学院·版权所有2005.24.服务器证书的设置和服务器的访问8/4/202368徐图198/14/202369徐州师范大学管理学院·版权所有2005.2图198/4/202369徐州师范大学管理学院·版权所有选择“编辑”按钮，就可以对访问用户进行控制了。如图20所示。图298/14/202370徐州师范大学管理学院·版权所有2005.2选择“编辑”按钮，就可以对访问用户进行控制了。如图20所示。至此，应该可以明白为什么我们可以访问的原因了吧。事实上，国内商家的网上交易很多就是在这个安全隧道里面进行的。有了这个安全保证，我们就可以在网上放心的购物了。8/14/202371徐州师范大学管理学院·版权所有2005.2至此，应该可以明白为什么我们可以访问https://www.四、利用数字证书进行代码签名当你在店铺里购买软件时，软件的来源很清楚，你可以分辨软件的提供商；同时，凭借软件的封装，你可以看到软件有没有被拆封过。籍此，人们可以决定对软件的信任程度。但是，当软件放到了Internet上，你在下载时，还能有足够的信心吗？在计算机病毒横行的今天，也许，你正在下载的杀毒软件恰是一个病毒程序，这样的事情一点也不奇怪，那么，我们在网上怎么信任那些exe文件呢？8/14/202372徐州师范大学管理学院·版权所有2005.2四、利用数字证书进行代码签名当你在店铺里购买软件时，软件的来任何软件提供商要想通过网络来发布代码或程序，都会面临着软件被仿冒和篡改的风险。通过数字证书使用代码签名技术就可以有效地防范这些风险。代码签名证书是CA中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及签名。软件提供商使用代码签名证书对软件进行签名后放到Internet上，当用户在Internet上下载该软件时，将会得到提示，从而可以确信软件的来源和软件自签名后到下载前没有遭到修改或破坏。8/14/202373徐州师范大学管理学院·版权所有2005.2任何软件提供商要想通过网络来发布代码或程序，都会面临着软件被对于用户来说，使用代码签名证书可以清楚了解软件的来源和可靠性，增强了用户使用Internet获取软件的决心。万一用户下载的是有害软件，也可以根据证书追踪到软件的来源。对于软件提供商来说，使用代码签名证书，其软件产品更难以被仿造和篡改，增强了软件提供商与用户间的信任度和软件商的信誉。8/14/202374徐州师范大学管理学院·版权所有2005.2对于用户来说，使用代码签名证书可以清楚了解软件的来源和可靠性如果你编写一个ActiveX控件并放在网页中，别人通过Internet下载时通常会出现一个安全警告，提示代码没有签名。在你的CertificateServer安装目录下找到xenroll.cab，并查看其属性，你会发现多了一栏数字签名，这里你可以查看签名验证情况以及相关证书。要给自己的程序签名其实也很简单，Microsoft有一个Authenticode工具专名用来给代码签名，你可以从Microsoft站点下载到，里面有许多工具，但通常你只要用到signcode.exe就够了。首先你需要有一个代码签名证书，然后