您可能不知道,當您傳輸資料的時候,假如資料沒有加密,那麼這些資料很容易就會被竊取。例如,您的信箱的密碼、信件的內容...等重要機密,假如您在傳輸過程中,沒有使用安全連線 (SSL) 與 Exchange Server 同步,那麼信中包含的財務報表、公司明年度的 Roadmap 與重要的會議紀錄決議案,都有可能被有心的駭客竊取,試想這是多麼嚴重的後果啊!
1. 認識憑證的概念憑證是一個數位文件,用來確定您的資料只被您想要傳到的目的地所接收,而且資料在傳輸的過程中是保持加密的,不會被攔截或在傳輸途中被修改內容,也同時能能確認遠端電腦的身分,確認原本應該傳道 mycompany.com 的內容不會被 yourcompany.com 所接收。在 Windows Mobile 的機器上,您可能要利用 3G/WiFi 網路,傳送許多重要且隱密的資料。由於許多 WiFi 網路基地台 (未加密的基地台) 在傳輸過程中沒有加密,所以假如資料或文件本身不加密,會更容易被竊取,所以更需要憑證的安全連線功能。
憑證另外一個用途是個人憑證,好像一張個人的證明、證書一樣,用來登入 VPN 或發 Email ─ 證明這封 Email 是您發的,而且內容不會被攥改,不是別人用別台機器,假冒您的 Email 地址甚至還假亂成真的加上您的 Email 簽名檔 (Best regards, Darren...) 等。別人收到信件的時候,一定要看到有有效的數位簽章的郵件,而且是 Darren 所屬的公司發行的數位簽章,才會相信「喔,這是貨真價實的 Darren 發的信件,不是冒牌貨」。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-5bef6f500f5e890c64c1cde5daf5f6b8.png)
▲ 有數位簽章的郵件,會有特別的獎章圖示標示。
憑證要由誰來發行比較恰當呢?可以從 Darren 所屬的公司或單位來發行,例如 Cabin 公司,這個 Cabin 公司又會跟他更上級的「憑證授權單位」(CA, Certificate Authority),例如市政府或行政院來要求憑證。假如,市政府已經是最高級的發行單位,那麼他只好自己發給自己憑証,也就是「自動發行」。 假如您信得過市政府,那麼您就信得過所有市政府發行的給其他公司,這些公司再發行的憑證,還有,市政府本身發行的憑證。
實際上,自動發行憑證的單位不是行政院,而是像 VeriSign、Thawte 和 Entrust.com 等「根憑證授權單位」(Root CA)。您在開始 > 設定 > 系統標籤中,「憑證」項目中的「根目錄」裡面的內容,就是您已經信任的憑證授權單位 (CA)。
當您拿到 Pocket PC 的時候,在根目錄已經內建的憑證項目,幾乎都是自動發行的,這些憑證是「與生俱來」Windows Mobile 就內建的,這些公司需要許多的人力成本去檢查申請憑證的公司是不是真的就是那家公司,不是假冒的 ─ 像是 Fake 公司去向 Root CA 申請一個名稱為 Cabin 的憑證,這個時候 Root CA 就要查公司的營利事業登記證和相關資訊,然後就會發現,Fake 這家公司是冒牌貨,就不發給他了。
而通常安全的購物交易網站跟這些「憑證授權單位」(CA),跟他們要求,請 CA 發行憑證給他們,讓顧客在線上交易,輸入信用卡號的時候,確保資料不會外流到駭客手中。向這些 CA 要求發行憑證都要付費,一年可能需要好幾萬新台幣的費用。
以上介紹的是 X.509 的概念,您可以到以下網站更加了解關於「憑證政權單位」的階層與發行憑證的觀念。
- Wikipedia X.509 (英文)
http://en.wikipedia.org/wiki/X.509
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-c0a6fae24f2afb34f06ab9720fa3980d.png)
▲ 點選開始 > 設定 > 系統,開啟「憑證」項目
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-1ccd9d24fdb79ece53f494a0a4066cd7.png)
▲ 在「根目錄」中,可以看到已經信任的根憑證
現在,我們終究的目的是要讓電子郵件傳送過程中,這封電子郵件不會被竊取或攥改,所以我們要匯入一個憑證。您的公司可以向 CA 申請憑證要求,這樣您的 Pocket PC 不需要額外的修改登錄動作,只需要直接在 ActiveSync 設定中,啟用加密的 SSL 連線,就完成資料的保密動作。缺點只是要付費而已。
到哪裡申請憑證檔案?以下列出幾個範例:
- Thawte
http://www.thawte.com/ - VeriSign
http://www.verisign.com/ - 如果您公司的 Windows Server 2003 為 Enterprise Edition,可以架設憑證伺服器來自己發行憑證,但不會被其他大眾使用者信任 ,只適合內部測試或小組使用。
如果您的公司沒有向這些 CA 申請憑證要求,而是跟這些 CA 一樣,是「自己發行」憑證,那麼您就要匯入這個憑證,將它存在您 Pocket PC 中的「根憑證」存放區,如此您才能使用 SSL 連線。電腦的 ActiveSync 與 Exchange 伺服器同步時,就對於伺服器來說,就好像是 Pocket PC 在讀取網頁一樣 (因為透過 HTTP 通訊協定),而如果加上 SSL 加密的保護措施,則是好像 Pocket PC 在與 Exchange Server 在做某種秘密交易一樣,因為透過的是 HTTPS 連線,跟線上購物網站的方式是相同的。
稍後的內容,筆者將為您如何安裝自動發行的根憑證,用來確認遠端 Exchange 伺服器的身分,以進行 ActiveSync 同步;還有設定個人的憑證,在發送 Email 的時候,收件者會看到一開始文中提到的「數位簽章郵件」。
2. 匯入自動發行的根憑證現在要匯入 Exchange ActiveSync 網頁伺服器的憑證,讓 Pocket PC 可以用加密連線來同步。如果您的伺服器的憑證是跟憑證 > 根目錄中的授權單位申請的話,您可以直接跳到下一節,直接設定 SSL 連線。
如果您要匯入的憑證檔案,他的憑證授權單位 (CA) 並不是已經在「根目錄」裡面,或是「自動發行」的話,有些 Pocket PC 會沒有辦法匯入這些憑證。 這個時候,您要更改登錄檔案中的安全性原則設定。您可以用各式各樣的登錄編輯器來修改登錄,有關登錄編輯器的說明,請您參閱「3.7 修改系統的登錄檔案」。
要修改的數值就是位於 HKLM\Security\Policies\Policies 中的 00001017 這個數值,將它改成 148。之後,關機 5 秒,讓登錄永久的儲存起來,再 Soft Reset 一次,稍後就可以匯入您就可以匯入自己發行的根憑證了。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-536c029fcd0b46fd8ca41b7226d900ed.png)
▲ 用登錄編輯器,編輯 HKLM\Security\Policies\Policies 中,名稱為 001017 的值
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-b1c560f26a2f3ca61a601ba8a18bde95.png)
▲ 將這個值的資料改成 148 (十進位)
要匯入根憑證,請您將取得的憑證檔案,透過 ActiveSync 放到 Pocket PC 中,再用內建的檔案總管開啟憑證檔,會提示您安裝它。安裝完成之後,您就可以在開始 > 設定 > 系統中的 [憑證] 項目中的 [根目錄] 看到您剛才安裝的數位憑證。有關於憑證檔案的取得方式,請您向您公司的 IT 部門的管理員詢問。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-929651ae3c35f2180fc7965cdd840615.png)
▲ 找到您取得的根憑證檔案,用檔案總管開啟
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-e9fca3209247e53ca8e8786f11a9620f.png)
▲ 詢問您是否要匯入這個根憑證。請選擇「是」安裝。
匯入之後,您就可以在開始 > 設定 > 系統中的 [憑證] 項目,切換到 [根目錄] 頁面點選已開啟後,看到這個憑證的內容。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-adef5adcd6e6dabce7184110466b7ff1.png)
▲ 匯入的就是這個自動發行的憑證
匯入了根憑證之後,您就可以用安全的連線方式,也就是 HTTPS 通訊協定,直接與 Exchange Server 同步。在 ActiveSync 的程式中,點選功能表 > 設定伺服器。勾選「此伺服器需要加密的 (SSL) 連線」,再點選下一步到完成。這樣以後同步時的傳輸過程,就更安全能保證資料不會被竊取。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-2b4c3a223f27fa6f69b6bccef8ac4fec.png)
▲ 在 ActiveSync 中,選擇功能表 > 設定伺服器
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-ca4ed0c2699a975499644848ee7f7377.png)
▲ 勾選「此伺服器需要加密的 (SSL) 連線」
現在要讓 Pocket PC 要求一個根憑證,在發送 Email 或登入 VPN 的時候,證明自己的身分。
在某些 Pocket PC 中,有一個「註冊器」(Enroller) 的程式。您可以從註冊器工具程式中,向公司的憑證伺服器取得個人憑證。點選開始 > 註冊器,輸入憑證伺服器的帳號與密碼。這個註冊器會自動產生一個憑證要求,接著再由遠端的憑證伺服器產生一個憑證給您。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-cecfb76d5f6d53dde24fc19ead7994cf.png)
▲ 在開始 > 程式集中,開啟「註冊器」這個工具程式
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-d79debcd4f1c03cd8ab4b054664ab3e9.png)
▲ 輸入憑證伺服器的帳號、密碼與主機位置,來擷取個人憑證
如果您的 Pocket PC 沒有 「註冊器」這個程式,或截取失敗的話,您可以用另外一個工具程式,來匯入另外一個 PSX 檔案。這個工具程式,可以讓您先從電腦的 IE 中匯出包含私密金鑰的檔案,再匯入到 Pocket PC 中。有關於個人憑證的取得方式,請您向您公司的 IT 部門的管理員詢問。
- 個人憑證匯入工具程式
http://www.jacco2.dds.nl/networking/pfximprt.html#Download
註:在網頁中下載回來的 ZIP 壓縮檔案,有程式原始碼,您只要取得裡面的 pfximprt.exe 執行檔案,複製到 Pocket PC 中即可。
請您先在電腦的瀏覽器中,匯出包含私密金鑰的個人憑證。方式則是在 Internet Explorer 的選項中,切換到「內容」標籤,點選「憑證」按鈕,匯出個人憑證。在匯出個人憑證的時候,需要密碼,這個密碼您應該知道,或您可以詢問您公司的 IT 人員。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-bda9b768f45a3fd39dff51a42824ffa0.png)
▲ 在 Internet Explorer 的選項對話方塊中,切換到「內容」,選擇「憑證」按鈕
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-31345c08c40791934e1626969d0fc133.png)
▲ 匯出個人憑證
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-896efe19ad1772e314ecabb1f597f61b.png)
▲ 在匯出個人憑證的同時,請匯出私密金鑰
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-09b54dd9215bedd62ee4c6fb54079ad9.png)
▲ 匯出的檔案是一個 PSX 檔案
請您把匯出的 PFX 檔複製到 Pocket PC 中。接著再用下載回來的 pfximport 程式,來匯入憑證。再匯入剛才的 PFX 檔案與輸入您的密碼。匯入之後,您就可以看到在設定的 [憑證] 部分,可以看到「個人」中多了一個發給您的個人憑證。
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-1a926026d2291381487c4bb6146cb030.png)
▲ 取得下載回來的 pfximport 程式,與從電腦傳過來的 PersonalCert 檔案
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-a3f7749a2609635d2a6742e3c13addd7.png)
▲ 選擇 PFX 檔案與輸入密碼後,點選 Import Certificate 匯入
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-0209148fd66de3df7ff739b9a179bafc.png)
▲ 在憑證中的 [個人] 部分,您可以看到發給您的憑證
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-dc495b99fc0b77daef3a04777b6458c3.png)
▲ 這是由 Cabin Certificate 這個 CA 發給筆者的個人憑證
最後,您只要在 ActiveSync 中的功能表 > 選項,設定與 Exchange Server 電子郵件同步的部份,勾選「針對所有外寄電子郵件進行簽章」。這樣一來,之後您用 Pocket PC 發出的 Email,都會有數位簽章在裡面,別人也能確定這封 Email 是由您的機器所發出的了!
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-f652f3de7e542fb2d03a3a792bf800ce.png)
▲ 在 ActiveSync 中,點選功能表 > 選項
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-a3c728cb2e9fcaae6af4ef878cbd9186.png)
▲ 選擇 [電子郵件],點選 [設定] 按鈕
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-2db96a82e29dcf542ec84596639e73c8.png)
▲ 點選 [進階] 按鈕
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-ae3ec8c2643435a3502af430dba6b901.png)
▲ 勾選「外寄電子郵件訊息進行簽章」,再點選「選擇憑證」按鈕
![[WM5 教學 - 企業應用篇] 憑證的觀念與應用 (4)](http://attach.mobile01.com/attach/200603/mobile01-8419591f244e30f8eb6755b6bf740c45.png)
▲ 選擇您剛才匯入的的個人憑證
▲ 有數位簽章的郵件,會有特別的獎章圖示標示。
