|
1.前言
吉林省政府公务通邮箱系统是在吉林省政府的支持下,由中国网通(集团)有限公司吉林省分公司与北京亿中邮信息技术有限公司共同研发的具有安全、便捷、高效等特点的邮箱系统。本邮箱系统支持运用数字证书进行安全登陆、收发加密并签名的安全邮件等功能,有效保障了政府公文邮件的传输安全。
1.1.背景
互联网应用的广泛开展,给我们的工作、生活带来了方便与快捷。与此同时,各种网络病毒、黑客程序的侵扰以及由此而带来的不可估量的危害,也让我们对网络安全越来越担心。如何保障网络应用的安全已成为基于互联网运行的各应用系统不得不考虑的课题。目前,在网络安全领域,基于公钥理论的PKI/CA技术是网络安全建设的基础与核心,在金融、电子商务、电子政务、电子邮件等领域都得到广泛的应用。
吉林省政府公务通邮箱系统承载了全省公务员邮箱的使用和管理功能,由于政府职能部门的事务特殊性,邮箱及邮件的安全性必须得到有效保障。基于这种要求,我们在政府公务通邮箱系统中集成了CA电子认证技术,这样不仅实现了网络中身份的验证,同时满足了政府邮件在传输过程中对信息的安全性、完整性及不可抵赖性的要求。
1.2.数字证书简介
数字证书又称为数字标识(Digital Certificate,Digital ID),是由CA中心认证审核后颁发的。它提供了一种在网络上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子政务和电子商务等活动时,双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关签名、加密的操作。通俗地讲,数字证书就是个人或单位在网络上的身份证。数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。
一个标准的X.509数字证书包含(但不限于)以下内容:
☆证书的版本信息;
☆证书的序列号(每个证书都有一个唯一的证书序列号);
☆证书所使用的签名算法;
☆证书的发行机构名称及其私钥的签名;
☆证书的有效期;
☆证书使用者的名称及其公钥的信息。
在使用数字证书的过程中应用公开密钥加密技术,建立起一套严密的身份认证系统,以提供以下安全服务:
☆除发送方和接收方外信息不被其他人窃取;
☆信息在传输过程中不被篡改;
☆接收方能够通过数字证书来确认发送方的身份;
☆发送方对于自己发送的信息将不可抵赖。
数字证书以其存储介质的不同,可分为KEY证书、光盘证书和文件证书。吉林省政府公务通邮箱系统主要使用了KEY证书和文件证书。
2.用户使用数字证书前的准备工作
公务通邮箱系统支持KEY证书和文件证书。下面我们介绍一下使用KEY证书和文件证书之前的一些准备工作。首先,是制作数字证书前,用户必要信息的采集:
2.1.公务通邮箱的申请
因为公务通邮箱系统既要支持新用户注册,又要兼容使用原政府邮箱系统的老用户,所以系统设置了新用户注册及老用户激活的功能。更重要的是,只有用户真实的填写相应的注册信息后,我们才能根据填写的信息来为您制作数字证书。
新用户:是指从来没有申请过吉林省政府的邮箱(如XXX@jl.gov.cn或XXX@mail.jl.gov.cn)的用户。
老用户:是指在吉林省政府原邮箱(如XXX@mail.jl.gov.cn)系统上作过申请的用户。
1.新用户注册
在公务通主页面的右上角,点击 按钮,进入新用户注册页面。如下图:
图1
在该页面中,新用户需填写如下信息进行注册:
☆邮箱名:登录本邮件系统的邮箱名,可以通过【验证邮箱名是否被占用】按钮进行检查;
☆输入密码:用户登录邮件系统的密码,中强度以上的密码才可以使用;
☆再次输入密码:重复输入登录邮件系统的密码,以保证密码输入的正确;
☆真实姓名:必须填写自己的真实姓名,以便确认您的身份;
☆单位名称:通过下拉菜单选择用户所在单位名称;
☆部门名称:填写您所在的部门,副厅级以上领导请填写职务;
☆联系电话:请填写可以联系到您的有效电话。例如:043188904732;
☆手机号码:请填写正确的手机号码,该号码将用于绑定系统的“移动办公”功能。如领导由于保密需要而不能填写,请使用秘书或办公室主任的手机号码作为替代;
☆身份证号码:请填写您真实的身份证号码。身份证号码信息采用加密方式存储,绝无泄密可能。填写错误信息可能会给用户带来不必要的损失,所以请用户认真填写自己的真实身份证信息,以确保系统能够正常识别您的身份;
☆激活码:刮开您所领取的公务通激活卡上的涂层,就可以看到激活码,请正确填写激活码。例如:JLZF123456789111(前四位必须大写)。
填写完以上信息后,点击 按钮,将信息进行提交,完成新用户的注册。
2.老用户激活
在公务通邮箱主页面的右上角,点击 按钮,进入老用户激活页面。如下图:
图 2
该功能支持邮箱系统的老用户通过邮箱激活功能,可以继续使用原来申请过的用户名登录到新邮箱系统。输入“老用户邮箱名”和“密码”,经过验证后即可进入用户信息页面,具体激活方法同新用户注册。
2.2.准备工作
1.如果您是文件证书的使用者,那么请确认您已经将扩展名为“.p12”的两个文件证书(Enc.p12和Sign.p12)拷贝到您计算机的硬盘上,并记下了文件证书所在的目录。其中Enc.p12是加密证书,Sign.p12是签名证书。如果您是KEY证书的使用者,请确认您已经领到KEY介质的数字证书和相应的驱动光盘。一般,KEY介质与光盘在同一个盒中,拿起盛放KEY介质的隔板后,就可以看到驱动光盘安放在盒子内壁上。
2.确定您的计算机可以正常连接到互联网络,如果使用KEY证书,则计算机至少有一个USB端口。
3.确认您计算机的操作系统为如下系统之一:
Windows 98
Windows ME
Windows XP
Windows 2000
Windows Server 2003
4.确认系统所使用的浏览器为Internet Explorer 5.0以上版本,或者为腾讯TT浏览器、傲游(Maxthon)浏览器。
5.如果是KEY证书用户,则在正常使用前需先安装驱动程序。以天喻的KEY介质为例:
首先,将驱动光盘放入您的光驱中,双击光驱标识符后就可以看到驱动盘中的内容。双击安装程序图标 运行驱动程序,运行后页面如下:
图 3
然后,点击【安装】按钮进入驱动程序的安装过程,安装过程完成后页面如下:
图 4
最后,点击【完成】按钮,完成驱动程序的安装。
2.3.安装文件证书
如果您使用的是文件证书,那么在使用前,您需要将证书安装到您机器的浏览器中。文件证书由两个文件组成,即Enc.p12和Sign.p12。其中Enc.p12是加密证书,Sign.p12是签名证书。两个证书都需要安装到浏览器中,但两个证书的安装步骤一样,所以我们就以安装加密证书Enc.p12为例,讲一下具体步骤:
1.找到您在机器硬盘上存储加密证书Enc.p12的位置。然后选中文件,双击图标进行安装。如下图:
图 5
2.用鼠标点击【下一步】按钮,输入证书的私钥保护密码。缺省为:111111。如下图:
图 6
3.接下来的两步均为系统默认,点击【下一步】按钮即可,直到最后完成安装。出现如下图提示,表示安装证书成功。
图 7
4.安装完加密证书后,再安装签名证书Sign.p12。安装的步骤相同,这里不再累述。
2.4.安装安全控件
不管是使用文件证书还是KEY证书,在使用数字证书之前,需要先安装系统所需的安全控件。具体安装步骤如下:
1.在IE浏览器的地址栏中输入下面地址http://mail.jl.gov.cn/,进入吉林省政府公务通邮箱系统主页面。
图 8
2.点击页面右侧的帮助说明中“公务通安全邮件控件在线安装”的链接,安装所需控件,如下图:
图 9
3.安装控件。按页面提示,点击【打开】按钮。如下图:
图 10
4.进入控件安装向导,点击【继续】按钮,进行下一步。如下图:
图 11
5.按页面提示,点击【安装】按钮,进入程序安装页面。如下图:
图 12
6.安装程序正在安装所需文件,请稍等。
图 13
7.控件成功安装后,会出现如下提示页面,点击【完成】按钮,完成安全控件的安装过程。如下图:
图 14
3.数字证书在公务通系统上的应用
经过一系列的准备工作之后,现在我们可以使用数字证书来登陆公务通邮箱系统并收发加密、签名的邮件了。
3.1.用数字证书进行登录
利用数字证书进行登录,不仅增强了安全性,而且避免了因忘记用户名或密码而带来的麻烦。具体步骤如下:
1.在吉林省政府公务通邮箱系统主页面上点击 按钮,进入到数字证书设备选择页面,如下图:
图 15
如果您是文件证书用户,在加密设备类型框中选择“磁盘方式”; 如果您使用的是KEY证书,则在加密设备类型框中选择“USBKEY”方式,然后点击【登录】按钮。
如果您使用的是文件证书,并且在您机器的浏览器中使用了两张以上网通CA颁发的证书,在登录时,系统会提示您选择哪一张证书来登录吉林省政府公务通邮箱系统,如下图;如果您只使用了一张网通CA颁发的数字证书,则系统不会弹出询问窗口。
图 16
2.不管是文件证书,还是KEY证书,在登录系统时都会要求您输入保护私钥的密码,这里我们称为“PIN码”。缺省PIN码是:111111。
图 17
3. 在PIN码校验窗口输完PIN码后,点击【确定】按钮就可以正常进入到您的邮箱中了。如下图:
图 18
3.2.用数字证书收发安全邮件
用数字证书登录后就可以收、发安全邮件了。我们所说的安全邮件,是指邮件在传输过程中,不管是邮件正文还是所带的附件,都是经过接收方公钥进行加密的密文,并且可以通过SSL安全套接层在加密通道中进行传输。这样,只有接收方用自己的私钥才能解开邮件,有效的保障了邮件传输的安全性。
另外,用户在发送安全邮件时,可以对邮件进行签名,证明这封邮件是由您发送的。避免其他人冒充或篡改了您的邮件。具体操作步骤如下:
3.2.1.发送安全邮件
1.成功登录后,用户可以看到页面上方有三种收、发邮件的方式:普通邮件、安全邮件、语音邮件。我们选择“安全邮件”。
2.填写收件人地址、邮件主题及邮件内容。在邮件类型中选择“签名并加密”,也可以根据需要添加附件。最后,点击【立即发送】的按钮发送邮件。如下图:
图19
3.如果邮件发送成功,系统后有发送成功的提示页面。如下图:
图 20
如果邮件发送不成功,系统也会提示您发送失败,如下图。如果发送失败,那么可能是因为对方没有数字证书,所以您无法给对方发送安全邮件。这时您只能改发普通邮件给对方。
图 21
3.2.2.接收安全邮件
1.用数字证书成功登录后,点击页面左上角的【收信】按钮,然后在右侧页面上就可以看到邮件的主题了,点击相应主题进入到阅读页面。与普通邮件不同的是,用户不是直接就可以看到邮件内容,而是要经过一个邮件解密的过程。如下图:
图 22
2.用户点击页面上用红色突出的 按钮,系统在后台用用户的私钥对邮件进行解密,解密后用户才能看到发送者的签名及邮件的内容。如下图:
图 23
4.注意事项
4.1数字证书使用须知
因为数字证书具有法律效力,所以用户在使用数字证书时一定要妥善保管、正确使用。以下是数字证书的使用须知:
1、CA中心发放的数字证书只能用于在网络上标识用户身份,对信息进行加、解密等功能。各应用系统可以根据该功能对其用途进行定义。数字证书不能作为其他任何用途,CA中心不承担由此产生的任何责任。
2、应当妥善保管CA中心所签发的数字证书,不得泄漏或交付他人。如因故意、过失导致他人知道或被盗用、冒用、伪造、篡改证书相关信息时,由此而造成的一切损失,应由用户自行负责。
3、如用户怀疑私钥泄密或客户证书介质丢失,应立即前往当地证书受理点办理证书注销手续,并重新办理证书申请手续。CA中心将在证书注销列表中发布该证书注销信息,声明该证书失效。因证书丢失未注销或非法使用已注销证书所造成的后果,本中心将不承担任何责任。
4、如用户长期不使用证书,CA中心建议用户到中心或受理点办理证书暂停使用的手续,以免证书被他人恶意盗用。对于办理了暂停使用的证书,用户希望继续使用此证书时,需再次到中心办理此证书的恢复手续。
5、如用户不希望继续使用数字证书时,应当立即到本中心或当地证书受理点按照规定手续废除数字证书。CA中心在接到受理点的废除申请后,在24小时内正式废除用户的数字证书。用户必须自行承担在数字证书正式废除之前所有使用数字证书可能产生的责任。另外,在证书废除后中心仍可根据用户需求重新办理新的证书申请手续。
6、用户数字证书的有效期一般为一年,自用户申请之日起计算。用户必须在证书失效前20天向CA中心(或受理点)提出数字证书延期申请,否则,证书到期将自动失效,CA中心对此失效证书的使用所造成的后果将不承担任何责任。在数字证书延期时,中心可按照用户的要求选择使用原有密钥或使用新的密钥。
7、CA中心对于下列情况之一,将主动废除所签发的证书:
1)申请注册时,提供不真实材料;
2)没有按照规定缴纳证书及其相关费用;
3)违反国家法律或者其它规章制度,不应签发数字证书的;
4)有盗用、冒用、伪造或者篡改他人证书的;
5)不履行安全电子业务应承担责任的。
8、如果用户发生意外或单位解散,法定责任人需要携带相关证明文件及原数字证书向CA中心申请废除用户数字证书。相关责任人应当承担其数字证书在废除前产生的一切行为。因用户使用中心已废除的证书所造成的后果,本中心将不承担任何责任。
9、用户计算机硬件配置上应有USB接口配置来使用用户数字证书。
10、用户应保管好KEY证书,防止丢失或损坏,如发现丢失,应立即与CA中心联系进行挂失。
11、用户应牢记证书的保护口令,如果错误输入保护口令次数过多,证书将被锁死,你须持证书到CA中心进行解锁。
4.2.关于数字证书的变更等事项
如用户遇到USB KEY丢失或私钥泄漏或其它相关情况,如证书冻结、解冻、吊销、变更等,用户需将申请提交到吉林省政府公众信息网服务中心,由吉林省政府公众信息网服务中心负责解决并将处理结果通知用户。
5.结束语
感谢您使用中国网通的数字证书产品。我们将不断推出新的服务以满足您的不同需求。如果您在使用我们的产品过程中有什么问题,请立即与我们联系,我们将为您提供完善的售后服务。
业务联系电话:0431-88904732
业务联系邮箱:admin@jl.gov.cn
技术支持电话:0431-85569525
技术支持邮箱:fushuping@jlnetcom.com |
