www.cacert.org使用說明
(範例:outlook express上使用的個人憑證)

作者:csc@ocean-pioneer.com
建立日期:2006/06/05
最後更新日期:2006/06/08
參考文件:http://www.cacert.org/help.php
當然還有其它文件了
尚在測試中............未完整

目的:
ssl /tls己經普遍被使用在加強網路的安全,但一般公司並沒有在購買認證的服務,而自我簽發的憑證,又不能滿足安全的要求,因此我尋找網路上的免費認證服 務,找到了www.cacert.org這個網站,在中文的網站找不到相關的使用說明,又摸了很久,最近才會用,因此寫下本說明,
你讀完本文應該可以:
1.建立linux憑證
2.建立windows相關憑證
3.會使用outlook express 的數位簽章及加密

作業環境:
linux -要安裝openssl
windows xp - 要安裝openssl (http://www.slproweb.com/products/Win32OpenSSL.html)
你可以任選一個,因為重點是在openssl的操作,另outlook express僅在windows下有該軟體,因此必須在windows的環境

登入:
連接www.cacert.org網站,其右選單如下:

1.join,輸入你的相關資料註冊
   將送一封確認信給你,在驗證後就可以使用
2.Normal Login,正常登入
你要看到如下的選單

Click here if you want to import the root certificate into Microsoft Internet Explorer
1.My Details:你的詳細資料
2.Email Accounts:你管理的email列表
3.Client Certificates: 為2中 email列表且被verified(驗證)的email 憑證的建立/廢除/更新 
4.Domains:你管理的網域列表
5.Server Certificates:你管理的網域中的主機,憑證的建立廢除/更新7.匯入該檔案,點選該檔兩下,然後根據其指令就可以匯入IE內
6.略(還未研究)
7.Disputes/Abuses:管理的e-mail或網域,跟別人有爭議(我們誤用,或別人誤用),用來解決這個問題
#其中2,3可分為一組,一般是用在個人的e-mail憑證
#4,5可分為一組,如果不是你管理的網域,你就沒有辦法來管理你的主機
#所有的驗證都是使用e-mail 通信,7也是以e-mail來解決爭議


郵件憑證:
1.登入之後,在Email Accounts中,新增你的e-mail address,
2.開啟你的outlook expres,收件,待cacert送給你一封信,開啟那封信,點選其中的超鏈結,則你的e-mail address 將會驗證成功
3.回到你www.cacert.org ,在Client Certificates按新增,則你可以看到你之前加入的e-mail address已在其中,再來就是傳送你的憑證要求
4.建立私key+憑證要求
   你可以選擇在linuxi或windows下面下指令
openssl req -nodes -new -keyout private.key -out myemail.req
#common name :為你的e-mail address
#在windows下請到命列下,並切換到目錄c:\openssl\bin\下上面的指令
#上述指令會建立二個檔案,私key-private.key,憑證要求-myemail.req
5.上傳憑證要求,使用一個文字編輯器,開啟myemail.req,選取全部的內容,複製到3的csr文字框中,再按確定,則你的憑證就完成了,你可以將結果剪下並另存新檔假設是myemail.crt,它也會寄給你該憑證
6.將憑證轉為pkcs#12 的格式
openssl pkcs12 -export -inkey privkey.key -in myemail.crt -out myemail.p12 -name "名稱如 email addres "
#如此為產生一個myemail.p12檔,這個檔是包含私key+憑證的檔案
7.匯入該檔案,點選該檔兩下,然後根據其指令就可以匯入IE內
8.到outlook express 下->工具->帳戶->該email->安全性->憑證選擇->你應該可以看到該剛才匯入的憑證

#e-mail的有效期是一年
#憑證簽章-是可以確定e-mail是你送的而具沒有被修改
#加密-你在帳戶內看到的是將數位簽章的mail,包含了一個附加檔(憑證及公key),如此對方可以使用你的公key送加密文件給你
#加入 cacert的 憑證,如此該e-mail憑證才會被確認,請使用IE開啟網站   http://www.cacert.org/index.php?id=3
選擇Click here if you want to import the root certificate into Microsoft Internet Explorer
如此會為你安裝cacert的根憑證

使用outlook express
數位簽章:
新增一封信
工具->簽章(或點選工具列的圖示簽章)
如此你的e-mail將確認是不是你發的,有沒有被修改過

加密:
新增一封信
收件者有送過數位簽章的mail給你才可以加密(因為該簽章有他的公key)
工具->加密(或點選工具列的加密圖示)
如果沒有該收件者的數位憑證,會提示你,否則,送給它的信全世界只有他可以讀(理想狀態)

網域及主機的憑證
1.登入之點選domains-> 新增你的domains ,然後伺服器會送一封確認信給你(你必須是該主機的管理者)
2.再來點選Server Certificates->新增你的主機
3..建立私key+憑證要求
   你可以選擇在linuxi或windows下面下指令
openssl req -nodes -new -keyout server.key -out server.req
#common name :為你的主機全名
4.
上傳憑證要求,使用一個文字編輯器,開啟server.req,選取全部的內容,複製到的csr文字框中,再按確定,則你的憑證就完成了,你可以將結果剪下並另存新檔假設是server.crt,它也會寄給你該憑證
5.如果你是linux主機則使用server.crt就可以了,如果是windows主機將其轉為pcks#12
 openssl pkcs12 -export -inkey server.key -in server.crt -out server.p12 -name "自定名稱"
6
.匯入該檔案,點選該檔兩下,然後根據其指令就可以匯入IE內

#主機憑證的有效期為半年
#linux的憑證,可應用於mail /web/等應用

IIS 的憑證-設定尚未測試成功
在www.cacert.org的help中有說明但我的主機winxp sp2 ,iis5.1無法使用https連線