日期:2018年12月5日
香港邮政核证机关根源证书更替计划
- 更替根源证书"HONGKONG POST ROOT CA 1"的实施计划
- 香港邮政证书撤销清单(CRL),授权撤销清单(ARL)及线上证书状态应答 (OCSP Response)
A. 更替根源证书"HONGKONG POST ROOT CA 1"的实施计划
香港邮政核证机关成立于2000年1月,是本港首间根据《电子交易条例》(香港法例第553章)而成立的认可核证机关。
自2003年5月15日开始,现行的根源证书"Hongkong Post e-Cert CA 1" ("Root CA1")已经用作签发中继证书,此等中继证书用于签发香港邮政电子证书,包括电子证书(个人),电子证书(机构),电子证书(保密),电子证书(机构职务)及电子证书(伺服器)。该根源证书有效期为二十年。
由于根源证书将于2023年5月15日到期,为可持续签发长达4年有效期的认可证书,香港邮政核证机关将会更替根源证书Root CA1为根源证书"Hongkong Post Root CA 2" ("Root CA2") 及根源证书"Hongkong Post Root CA 3" ("Root CA3") ,日程如下:
| 日期 | 事项 |
|---|---|
| 由2018年12月5日起 | 倚据证书人士可要求提供测试用的证书。 |
| 2019年2月1日 |
电子证书(个人)/ 电子证书(机构)/ 电子证书(保密)/ 电子证书(机构职务)将由Root CA2注 (i) 签发。((i)政府各政策局或部门登记人申请的电子证书(机构),或(ii)相关指定政府电子服务的电子证书(个人)/电子证书(机构)登记人除外注 (ii)) 政府各政策局或部门的电子证书登记人,或相关指定政府电子服务的电子证书登记人,其电子证书(个人) / 电子证书(机构)将继续由Root CA1签发注 (iii)。 |
| 2019年4月1日 | 政府各政策局或部门的电子证书登记人,或相关指定政府电子服务的电子证书登记人,其电子证书(个人) / 电子证书(机构)将由Root CA2签发注(i) (iii)。 |
| 2019年7月1日 | 电子证书(伺服器)会由Root CA3签发注 (iv)。 |
注 (i): Root CA2 拥有两个中继证书,分别为 "Hongkong Post e-Cert CA 2 - 15" ("SubCA2-15") 及 "Hongkong Post e-Cert CA 2 - 17" ("SubCA2-17") 。 两个 中继证书会在更替后签发以下的电子证书:
| 根源证书 | 中继证书 | 电子证书类别 |
|---|---|---|
| Root CA 2 | Sub CA 2-15 |
|
| Sub CA 2-17 |
|
注 (ii): 政府各政策局或部门的电子证书(机构)登记人,或相关指定政府电子服务的电子证书(个人)/电子证书(机构)登记人,其申请的电子证书(个人) / 电子证书(机构)将继续由现时的中继证书SubCA1-10 签发。而所有电子证书(个人) "互认版" / 电子证书(机构)"互认版"则由新中继证书SubCA2-15签发。
注 (iii): 如有特别要求,政府各政策局或部门的电子证书登记人,或相关指定政府电子服务的电子证书登记人应与香港邮政核证机关商讨,按个别情况及理由处理。香港邮政核证机关备存指定政府电子服务清单,各政策局/部门如需要将其电子服务包括在清单内须与香港邮政核证机关商讨。电子证书申请表格会清楚注明适用于相关指定政府电子服务的电子证书(个人)/电子证书(机构)申请。
注 (iv): Root CA3的中继证书"Hongkong Post e-Cert SSL CA 3 - 17" ("SubCA SSL3-17") 会在更替后用作签发电子证书(伺服器)。
倚据证书人士应评注意以下有关根源证书更替之注意事项:
- 现有的Root CA1及其中继证书会继续更新及公布其授权撤销清单(ARL)和证书撤销清单(CRL),并签署线上证书状态应答 (OCSP response),直到2023年5月15日其有效期届满为止。
- 现行及新的中继证书将各自更新及公布电子证书的撤销资料在其证书撤销清单内。相关的证书撤销清单位址可以在证书的「证书撤销清单分发点」(CRL Distribution Points) 栏位内找到。如果电子证书支援线上证书状态应答,则现有和新的中继证书将提供相关的线上证书状态应答。有关详情,请参阅以下B部分。
倚据证书人士应确保其应用程式能支援由现行及新的根源证书拥有之中继证书所签发的电子证书,证书撤销清单(CRL)和线上证书状态应答(OCSP response)。香港邮政核证机关建议倚据证书人士于2019年1月31日前完成测试,并会提供测试所需的协助。
即使根源证书更替后,登记人仍可继续持有及使用现行已签发的认可证书,直至其使用期届满。
如需任何协助,倚据证书人士可致电香港邮政核证机关客户服务电话 2921 6633,或电邮至enquiry@eCert.gov.hk 查询有关由新根源证书拥有的中继证书所签发的香港邮政电子证书事宜。
B. 香港邮政证书撤销清单(CRL),授权撤销清单(ARL)及线上证书状态应答 (OCSP Response)
新中继证书支援的证书撤销清单
香港邮政每天三次更新及公布证书撤销清单(更新时间为香港时间09:15、14:15及19:00(即格林尼治平时[GMT或UTC] 时间01:15、06:15及11:00))。
香港邮政每天三次更新及公布由中继证书SubCA 2-15,SubCA2-17及SubCA SSL CA3-17证书撤销清单,包含已暂时吊销或已撤销证书的资料。
-
「分割式证书撤销清单」包含已暂时吊销或已撤销证书的信息。每个「分割式证书撤销清单」可在以下位置(URL)给公开查阅:
- 由中继证书SubCA 2-15发出的电子证书(个人)"互认版":
http://crl1.eCert.gov.hk/crl/eCertCA2-15CRL1_<xxxxx>.crl
由中继证书"Hongkong Post e-Cert CA 2 - 15"所发出,其中 <xxxxx> 为包含5个数字或字符的字串。 - 由中继证书SubCA 2-15发出的电子证书(机构)"互认版"及电子证书(机构职务):
http://crl1.eCert.gov.hk/crl/eCertCA2-15CRL2.crl由中继证书"Hongkong Post e-Cert CA 2 - 15"所发出 - 由中继证书SubCA 2-17发出的电子证书(个人)
http://crl1.eCert.gov.hk/crl/eCertCA2-17CRL1_<xxxxx>.crl
由中继证书"Hongkong Post e-Cert CA 2 - 17"所发出,其中 <xxxxx> 为包含5个数字或字符的字串。 - 由中继证书SubCA 2-17发出的电子证书(机构)及电子证书(保密):
http://crl1.eCert.gov.hk/crl/eCertCA2-17CRL2.crl - 有关电子证书(伺服器)的证书撤销资料只会在证书撤销清单公布。
- 由中继证书SubCA 2-15发出的电子证书(个人)"互认版":
- 整体证书撤销清单包含分别由SubCA 2-15,SubCA2-17和SubCA SSL CA3-17颁发的所有已暂时吊销或已撤销证书的信息。每个整体证书撤销清单都可在以下位置(URL)下载:
- 由中继证书SubCA 2-15发出的电子证书(个人)"互认版",电子证书(机构)"互认版"及电子证书(机构职务):
http://crl1.eCert.gov.hk/crl/eCertCA2-15CRL1.crl 或
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post e-Cert CA 2 - 17 CRL1, o=Hongkong Post, c=HK) - 由中继证书SubCA 2-17发出的电子证书(个人),电子证书(机构)及电子证书(保密):
http://crl1.eCert.gov.hk/crl/eCertCA2-17CRL1.crl 或
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post e-Cert CA 2 - 17 CRL1, o=Hongkong Post, c=HK) - 由中继证书SubCA SSL CA3-17发出的电子证书(伺服器):
http://crl1.eCert.gov.hk/crl/eCertSCA3-17CRL1.crl 或
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post e-Cert SSL CA 3 - 17 CRL1, o=Hongkong Post, c=HK)
- 由中继证书SubCA 2-15发出的电子证书(个人)"互认版",电子证书(机构)"互认版"及电子证书(机构职务):
新根源证支援的授权撤销清单
香港邮政会更新及公布授权撤销清单,而清单内载有已暂时吊销或已撤销的中继证书的资料。香港邮政会每年在其下次更新日期前或在有需要时更新及公布。最新发出的授权撤销清单可于下述位置下载:
- 根源证书Root CA2签发的中继证书SubCA 2-15 and SubCA 2-17:
http://crl1.eCert.gov.hk/crl/RootCA2ARL.crl or
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post Root CA 2, o=Hongkong Post, c=HK) - 根源证书Root CA3签发的中继证书SubCA SSL CA3-17:
http://crl1.eCert.gov.hk/crl/RootCA3ARL.crl or
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post Root CA 3, o=Hongkong Post, c=HK)
新根源证书Root CA3及中继证书SubCA SSL3-17支援的线上证书状态应答(OCSP Response)
香港邮政核政机关已指定通过包含主题名称相应的线上证书状态通讯规约,将根源证书及其中继证书签署给线上证书状态通讯规约的查阅者,如下所示:
根源证书
| 证书主体名称 (CN) | 线上证书状态通讯规约 (OCSP) 签发者证书主体名称 (CN) |
|---|---|
| "Hongkong Post Root CA 3" | "Hongkong Post Root CA 3 OCSP Responder" |
中继证书
| 证书主体名称 (CN) | 线上证书状态通讯规约 (OCSP) 签发者证书主体名称 (CN) |
|---|---|
| "Hongkong Post e-Cert SSL CA 3 - 17" | "Hongkong Post e-Cert SSL CA 3 - 17 OCSP Responder" |
此外,具独特性的物件识别码(OID)"1.3.6.1.4.1.16030.1.6" 会分配给线上证书状态通讯规约回应者,并在线上证书状态通讯规约签名者证书的"证书政策"字段中指定。
现有根源证书支援的授权撤销清单及现有中继证书支援的证书撤销清单
现有的SubCA1-10和SubCA1-15将分别于2019年4月1日及2019年7月1日停止签发实体证书。但他们将继续在香港时间09:15,14:15和19:00(即格林尼治平时 [GMT或UTC] 时间01:15, 06:15和11:00)每天发布3次已暂停或已撤销电子证书的证书撤销清单(CRL),直到其有效期届满为止。
现有的根源证书Root CA1会继续在下一个更新日期之前或必要时,发布包含已暂停或已撤销的中继证书的授权撤销清单(ARL),直至其有效期届满为止。
根源证书Root CA1及中继证书 SubCA1-15 将继续提供线上证书状态应答 (OCSP Response)直至其有效期届满为止。
如有查询,请致电香港邮政核证机关客户服务电话2921 6633或电邮至enquiry@eCert.gov.hk
