雙證書(shū)體系key usage擴(kuò)展——Outlook使用證書(shū)發(fā)送加密簽名郵件

網(wǎng)絡(luò)認(rèn)證第十二講作業(yè)

一．作業(yè)要求
測(cè)試郵件客戶(hù)端軟件（如Outlook、Foxmail等）是否支持key usage擴(kuò)展
二．使用工具
OpenSSL，OutLook，F(xiàn)oxMail
三．實(shí)驗(yàn)過(guò)程

1. 使用OpenSSL生成證書(shū)
   (1). 首先生成私鑰pravate.pem
   在命令行中鍵入：genrsa -des3 -out private.pem 2048，使用RSA算法生成2048位私鑰，并使用3DES算法來(lái)加密key。
   
   輸入DES的加密密鑰之后，生成private.pem文件
   
   (2). 生成帶有擴(kuò)展的證書(shū)
   實(shí)驗(yàn)要求測(cè)試郵件客戶(hù)端是否支持key usage擴(kuò)展，所以生成兩個(gè)證書(shū)加以區(qū)分測(cè)試。cacert2.crt的key usage擴(kuò)展為Digital Signature, Non-Repudiation, Key Encipherment (e0)，證書(shū)可以用來(lái)加密和簽名；cacert3.crt的key usage擴(kuò)展為Digital Signature, Non-Repudiation，沒(méi)有了加密功能，只能用來(lái)簽名。
   在openssl.cnf文件中修改[v3_req]的keyUsage字段內(nèi)容：
   cacert2.crt的配置 → keyusage= nonRepudiation, digitalSignature, keyEncipherment
   cacert3.crt的配置 → keyusage= nonRepudiation, digitalSignature
   

在命令行中鍵入：req -new -x509 -days 3650 -key private.pem -out cacert2.crt -config openssl.cnf -extensions v3_req，生成帶有擴(kuò)展的證書(shū)。同理，修改cnf配置文件后生成cacert3。

證書(shū)生成時(shí)要求輸入證書(shū)信息，包括國(guó)家、組織名稱(chēng)、郵箱等，在此處輸入的郵箱地址要與之后登陸測(cè)試的郵箱地址一致。
生成證書(shū)如下圖所示，圖左為cacert2.crt帶有keyEncipherment加密功能的證書(shū)，圖右為cacert3.crt不可用于加密的證書(shū)：

(3). 生成pfx文件
使用pkcs12將證書(shū)和對(duì)應(yīng)的私鑰信息進(jìn)行打包，以口令保護(hù)私鑰，生成pfx文件，以便將證書(shū)導(dǎo)入計(jì)算機(jī)的“個(gè)人”證書(shū)中，并在郵件客戶(hù)端配置。
在命令行中鍵入：pkcs12 -export -out cacert2.pfx -inkey private.pem -in cacert2.crt

輸入之前用于3DES算法用于加密私鑰的密鑰，驗(yàn)證通過(guò)后，再設(shè)置導(dǎo)出私鑰的口令。分別生成cacert2.pfx和cacert3.pfx文件。

2. 測(cè)試OutLook是否支持key usage擴(kuò)展
   為了在OutLook中配置個(gè)人證書(shū)，首先要在瀏覽器中，將證書(shū)導(dǎo)入“個(gè)人”，并在“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”中信任自己生成證書(shū)的頒發(fā)者。
   
   (1). keyusage= nonRepudiation, digitalSignature, keyEncipherment
   首先選擇cacert2.crt（帶有Key Encipherment可用于加密的證書(shū)）配置OutLook，該證書(shū)既可以用于簽名也可以用于加密，如下圖所示：
   
   然后發(fā)送加密簽名測(cè)試郵件，收件人“xx的is”地址為“xxxxx@is.xx.xx”，事先已經(jīng)在聯(lián)系人中配置好該收件人的證書(shū)。在發(fā)送時(shí)選擇加密和簽署，如下圖所示：

   
   收件人“xx的is”成功收到并打開(kāi)該郵件，而且該郵件是被加密和簽名過(guò)的，如下圖所示：
   
   (2). keyusage= nonRepudiation, digitalSignature
   再?gòu)腛utLook配置中更換證書(shū)，選擇cacert3.crt（沒(méi)有Key Encipherment不可用于加密的證書(shū)）。選擇簽名證書(shū)時(shí)，彈出了兩個(gè)可選證書(shū)，其中包括cacert3.crt，該證書(shū)可用于簽名。
   
   然而再選擇加密證書(shū)，彈出選擇證書(shū)中只有一個(gè)證書(shū)，無(wú)法選擇cacert3.crt，可看出OutLook已經(jīng)識(shí)別出來(lái)cacert3.crt不帶有keyEncipherment的Key Usage擴(kuò)展，所以無(wú)法用于加密。
   
   再?lài)L試發(fā)送加密并簽名的郵件，無(wú)法發(fā)送郵件，提示沒(méi)有可用于加密的證書(shū)。

   嘗試發(fā)送只簽名不加密的郵件，可以發(fā)送成功。

四．實(shí)驗(yàn)結(jié)論
本次實(shí)驗(yàn)測(cè)試了OutLook客戶(hù)端。
OutLook支持Key Usage擴(kuò)展，當(dāng)證書(shū)Key Usage擴(kuò)展帶有nonRepudiation, digitalSignature, keyEncipherment時(shí)，證書(shū)可以用于發(fā)送加密并簽名的郵件，而不帶keyEncipherment時(shí)，OutLook無(wú)法使用證書(shū)發(fā)送加密郵件。
FoxMail 7.2版本并不支持?jǐn)?shù)字證書(shū)配置，更無(wú)從談起是否支持Key Usage擴(kuò)展了。但是該客戶(hù)端擁有加密郵件的功能，保證了郵件機(jī)密性，卻無(wú)法保證郵件的真實(shí)性完整性。可見(jiàn)OutLook在郵件安全方面做得比FoxMail全面并專(zhuān)業(yè)。