使用数字签名的邮件

easy

假设有两用户 king 和 alex，其系统都是 Windows7，它们都安装有 Windows Live Mail 邮件客户端，它们对应的邮件账号为 alex@groad.net 与 king@groad.net 。
现在 alex 要发送一封经过签名的邮件给 king ：

先打开 Windows Live Mail，然后右击左侧账户，在弹出菜单中，选择 “属性”，切换到 “安全” 选项卡，单击 “签名证书” 处的 “选择” 按钮选择证书：


（图-1）

关于安装企业根 CA 可参考帖子：《安装 AD CS 与架设根 CA》；关于如何通过证书申请向导来向企业CA申请证书可参考帖子： 《使用“证书申请向导”向企业CA申请证书》。

若 alex 拥有多个证书的话，那么上图中会显示出这些证书，可以从中选出一个证书来保护电子邮件。


下面 alex 向 king 发送一封带有数字签名的邮件，方法是在 “工具” 菜单下单击 “数字签名”：




写完邮件后，点击 “发送” 按钮，将邮件发送出去，此时可能会看到 “您不信任该账户的数字标识”：



之前不是已经导入证书了么？怎么又会有上面的提示呢？我们再回到上面导入的证书的步骤（见 图-1），单击其上的“单击此处查看证书属性”，那么会看到：

上面提示“无法将这个证书验证到一个受信任的证书颁发机构”。这下可以了解原因了---我们还没有信任颁发这个个人证书的根 CA 。

信任根 CA ，并导入根 CA 证书等内容可参考帖子 《安装 AD CS 与架设根 CA》。


在信任根 CA 后，我们再次发送邮件，上面的警示框就不再弹出来了。现在，转到 king 这边，把邮件收下来看看：



只要 alex 加入到 king 的联系人列表内，alex 的公钥就会被存储到 king 的计算机中，因此我们只要点击上图中的  “添加联系人” 即可。另外，为了以后不再显示上图中的安全说明界面，我们勾选 “不再显示此帮助屏幕”。

最后，我们做一个测试，修改一下 king 这台计算机的系统时间（当然需要有权限的用户，比如域管理员），这样可以模拟出证书过期的情况：


电子邮件保护证书的有效期默认为 1 年，我们将系统时间往后推 1 年，那么可以看到邮件发出警告，提示“数字标识已过期”。但是，我们还是可以打开来查看这封邮件的内容。