香港郵政電子核證
主頁 聯絡我們 網頁指南 English 简体中文 文字版
A A A


翹晉電子商務有限公司

香港郵政

符合萬維網聯盟有關無障礙網頁設計指引中2A級別的要求

 
 

電子證書常見問題解答

目錄

  1. 香港郵政核證機關
  2. 公開密碼匙基礎建設(PKI)
  3. 香港郵政電子核證服務
  4. 電子證書(伺服器)提交證書簽署要求(CSR)
  5. 電子核證代製密碼匙服務常見答問
  6. 技術問題
  7. 撤銷證書
  8. 刪除和恢復問題
  9. 備存和轉移證書
  10. 電子證書(個人)續期
  11. 電子證書檔案USB
  12. 電子證書Token
  13. 電子證書(個人)"互認版"及電子證書(機構)"互認版"
  14. 電子證書(機構)"具自動交換資料功能"
  15. 電子證書(伺服器)
  16. 銀行證書(個人/機構/銀行)
  17. 香港郵政根源證書 (Root CA 1) 更替

A. 香港郵政核證機關

  1. 為何應選擇香港郵政核證機關作為自己的核證機關?
  2. 香港是否有規定數碼簽署的法律?
  3. 電子核證證書的"倚據限額"的涵義是甚麼?
  4. 舊有核證機關系統終止運作
  5. 香港郵政核證機關於2010年2月26日更替中繼證書
  6. 於2010年2月26日的中繼證書更替會為電子證書登記人帶來什麼影響?
  7. 香港郵政核證機關於2015年1月1日新增中繼證書"Hongkong Post e-Cert CA 1 - 14"
  8. 於2015年1月1日的新增中繼證書"Hongkong Post e-Cert CA 1 - 14"會為電子證書(伺服器)登記人在配置時帶來什麼影響?
  9. 中繼證書"Hongkong Post e-Cert CA 1"的有效期屆滿
  10. 香港郵政核證機關於2015年9月1日新增中繼證書"Hongkong Post e-Cert CA 1 - 15"
  11. 於2015年9月1日的新增中繼證書"Hongkong Post e-Cert CA 1 - 15"會為電子證書(伺服器)登記人在配置時帶來什麼影響?
  12. 根源證書"Hongkong Post Root CA 1"的有效期屆滿

B. 公開密碼匙基礎建設(PKI)

  1. 甚麼是加密?
  2. 甚麼是公開密碼匙加密術及其原理?
  3. 甚麼是核證機關(CA)?
  4. 甚麼是數碼證書?
  5. 甚麼是香港郵政電子核證證書?
  6. 甚麼是數碼簽署及其原理?
  7. 甚麼是雜湊函數/值?
  8. 甚麼是S/MIME?
  9. 為甚麼我的電子郵件上有一個S/MIME .p7s或 / 和S/MIME .p7m附件?
  10. 甚麼是安全接層(SSL)?
  11. 如何發送經簽署及加密的電子郵件?
  12. 怎樣才能獲得其他人的數碼證書(內含公開密碼匙),以向其發送加密電子郵件?
  13. 如何讀取收到的加密電子郵件?
  14. 如何核實所收到的簽署訊息上的數碼簽署?
  15. 我怎樣才能知道收到的電子郵件是否被簽署或加密?
  16. 是否可以向沒有數碼證書的人發送安全電子郵件?

C. 香港郵政電子核證服務

  1. 香港郵政電子核證支援漢字嗎?
  2. 香港郵政電子核證支援Elliptic Curve Cryptosystem (ECC)嗎?
  3. 香港郵政電子核證支援object signing和Authenticode嗎?
  4. 香港郵政電子證書密碼匙長度是多少?
  5. 香港郵政電子核證證書全球通用嗎?
  6. 進入香港郵政核證機關網站有哪些系統需求?
  7. 我是否可以在Hotmail或其他電子郵件服務上使用電子核證?
  8. 我的香港郵政電子核證證書屆滿後怎麼辦?
  9. 本人可申請多少份香港郵政電子核證證書?
  10. 一份香港郵政電子核證證書的費用是多少?
  11. 香港郵政電子核證證書的有效期為多長?
  12. 我能否更改證書上的資料?
  13. 香港郵政核證機關支援什麼雜湊算法?
  14. 香港郵政核證機關簽發的電子證書(伺服器)支援線上證書狀態通訊規約 (OCSP) 嗎?
  15. 為何瀏覽器首先須接受香港郵政根源核證機關的證書?
  16. 我應在何處下載香港郵政根源核證機關證書的公開密碼匙?如何將其安裝於瀏覽器中?
  17. 如何重新獲得已丟失或被意外刪除的電子核證?
  18. 為何設置香港郵政電子核證證書備存文檔十分重要?
  19. 我是否可以將一個香港郵政電子核證證書用於多個電子郵件地址?
  20. 香港郵政電子核證證書的認證程序是甚麼?
  21. 為何香港郵政向未成年人發出數碼證書?
  22. 可否從香港郵政伺服器目錄中查閱保密證書?
  23. 有關香港郵政電子核證證書使用條件的資料可以在哪裏查閱得到?
  24. 如收件人以同一電郵地址登記不止一張數碼證書,如何以Netscape瀏覽器搜尋指定的一張?
  25. 為甚麼電子證書申請人必須親往郵政局辦理身分認證手續?
  26. 可否在午飯時段﹑週末或週日到郵政局辦理身分認證手續?
  27. 如在安裝電子證書過程中遇到任何問題的話,可如何求助?
  28. 香港郵政將電子證書儲存媒體郵寄給申請人的安排是否恰當?
  29. 電子證書可否在運行Linux和Mac操作系統的電腦上使用?
  30. 電子證書(機構職務)和電子證書(機構)有什麽分別?
  31. 本機構適合使用電子證書(機構職務)還是電子證書(機構)?
  32. 電子證書(機構職務)和電子證書(機構)在申請程序上有什麽分別?
  33. 爲什麽登記人機構必須先與香港郵政核證機關作出安排,香港郵政核證機關才可以為登記人機構發出電子證書(機構職務)?
  34. 電子證書上的「登記人機構名稱」和「登記人機構分行/部門名稱」的欄位長度最長是多少?
  35. 我們是香港數碼港推行的「智方便」沙盒先導計劃("計劃")的參與者。我可否申請試用版電子證書(保密)用於該計劃進行測試?

D. 電子證書(伺服器)提交證書簽署要求(CSR)

  1. 甚麼是證書簽署要求(CSR)?
  2. 如何發出證書簽署要求(CSR)?
  3. 在電子證書(伺服器)提交證書簽署要求(CSR)過程中,我應該將甚麼貼上Certificate Signing Request (CSR)的文字方格?
  4. 如果我沒有在提交證書簽署要求(CSR)過程的最後步驟下載我的電子證書(伺服器),我應該怎樣辦?
  5. 如何為具中文網域名稱電子證書(伺服器)發出「證書簽署要求」 (CSR)?

E. 電子核證代製密碼匙服務常見答問

  1. 何謂代製密碼匙服務?如何運作?
  2. 是否各種證書都可使用這項服務?
  3. 有沒有設定防護措施保護由代製密碼匙服務產生的證書檔案?
  4. 有沒有應用工具或程式可以更改電子證書檔案的密碼?
  5. 使用「更改電子證書檔案密碼程式」軟件有沒有甚麼限制?

F. 技術問題

  1. 怎樣才能知道自己的香港郵政電子核證證書是否已安裝好?
  2. 個人辨識密碼好象不起作用時怎麼辦?
  3. 為何在下載證書後不久即收到"證書已屆滿"訊息?
  4. 本人已刪除自己的Netscape Navigator,並已安裝最新版本。我怎樣重新安裝自己的數碼證書?
  5. 如何判斷自己是否連接到一個安全伺服器上?
  6. 怎樣才能獲得128位元∕全強度對話方塊?
  7. 我在自己的伺服器證書申請上應使用甚麼網域名稱?
  8. 保密證書內哪個字段控制一對密碼匙的用途?
  9. 電子證書(保密)證書的用途為何?
  10. 在Crypto Tools 軟件內使用電子證書

G. 撤銷證書

  1. 如何撤銷香港郵政電子核證證書?
  2. 為甚麼要在證書屆滿前撤銷證書?
  3. 如何核實已撤銷證書的進展情況?

H. 刪除和恢復問題

  1. 如果我的硬碟出現故障,是否有辦法恢復香港郵政電子核證證書?
  2. 如果電腦和證書同時失竊應該怎麼辦?
  3. 我是否應該刪除已屆滿或已撤銷的電子證書?

I. 備存和轉移證書

  1. 如何儲存數碼證書的備存文檔?
  2. 如何將我的數碼證書轉移到另一台電腦?

J. 電子證書(個人)續期

  1. 為什麼電子證書(個人)用戶在證書三年有效期屆滿時沒有收到電郵續期通知?
  2. 延長登記使用期與證書續期有甚麼分別?
  3. 用戶該如何辦理續期?可透過甚麼途徑?
  4. 續期的電子證書(個人)的有效年期為多少?收費如何?
  5. 我可否一次過繳付三年登記使用期的費用?
  6. 電子證書(個人)用戶續期時會否獲得新密碼信封?
  7. 電子證書獲續期後,收到了新的密碼信封及電子證書儲存媒體,是否可以棄掉舊有電子證書的密碼及電子證書儲存媒體?
  8. 用戶可循哪些途徑查詢有關電子證書事宜?

K. 電子證書檔案USB

  1. 什麼是電子證書檔案USB?
  2. 電子證書檔案USB的主要好處是什麼?
  3. 我需要支付電子證書檔案USB的費用嗎?
  4. 軟磁碟在何時不再是電子證書儲存媒體的其中一個選擇?
  5. 由於安全的理由,我的辦公室的電腦USB連接埠被禁用,我怎麼能讀取我的電子證書檔案USB內的電子證書?
  6. 我申請電子證書時沒有選擇電子證書檔案USB。在收到我的電子證書後,我可以選購電子證書檔案USB嗎?

L. 電子證書Token

  1. 什麼是電子證書Token?
  2. 那一種類的香港郵政電子證書採用電子證書Token作為儲存媒體?
  3. 電子證書Token和電子證書檔案USB有什麼不同之處?
  4. 電子證書Token (SafeNet)和電子證書Token (FEITIAN)有什麼不同之處?我應該如何選擇?
  5. 怎樣讀取儲存在電子證書Token內的電子證書(個人)"互認版"電子證書?
  6. 由於安全的理由,我的辦公室的電腦USB連接埠被禁用,我怎麼能讀取我的電子證書Token內的電子證書?
  7. 我可否更改存於電子證書Token的密碼?
  8. 若我的電子證書Token已損壞,不能讀取電子證書資料,我應怎樣做?
  9. 如果遺失了電子證書Token,我應該怎樣辦?

M. 電子證書(個人)"互認版"及電子證書(機構)"互認版"

  1. 電子證書(個人)"互認版"和 電子證書(機構)"互認版",有何好處?
  2. 我已擁有電子證書(個人)/電子證書(機構),現在想轉用電子證書(個人)"互認版"/ 電子證書(機構)"互認版",應如何申請?
  3. 電子證書(個人)"互認版"/ 電子證書(機構)"互認版"可提供的儲存媒體是什麼?
  4. 我可以選擇將電子證書(個人)"互認版"/ 電子證書(機構)"互認版"儲存在電子證書檔案USB嗎?
  5. 如果忘記了我的電子證書(個人)/ 電子證書(機構)"互認版"的密碼,我應該怎樣辦?
  6. 電子證書(個人)"互認版"/ 電子證書(機構)"互認版"在續期時可否轉用另一種電子證書Token?
  7. 我可否將一份電子證書(個人)"互認版"/ 電子證書(機構)"互認版"同時存放於電子證書Token (SafeNet)及電子證書Token (FEITIAN)?

N. 電子證書(機構)"具自動交換資料功能"

  1. 我已擁有電子證書(機構),現在想轉用電子證書(機構)"具自動交換資料功能",應如何申請?
  2. 我擁有的電子證書(機構)仍然現行有效,但未增加"具自動交換資料功能",我能否使用該電子證書登入我在稅務局「自動交換財務帳戶資料網站」/ 「國別報告網站」的帳戶?
  3. 如果我的機構沒有商業登記證,能否申請電子證書(機構)"具自動交換資料功能"?

O. 電子證書(伺服器)

  1. 在申請電子證書(伺服器)時,應申請那一項電子證書(伺服器)?
  2. 安裝SHA-256電子證書(伺服器)有何最低要求?
  3. 在申請各類電子證書(伺服器)時,伺服器名稱有何限制?
  4. 電子證書(伺服器)"通用版"及"多域版",有何好處?
  5. 如何上載電子證書(伺服器)"通用版"及"多域版"之「證書簽署要求」(Certificate Signing Request, "CSR")? 其步驟與電子證書(伺服器)之「證書簽署要求」步驟是否不同?
  6. 電子證書(伺服器)"通用版"和"多域版"可用於多個伺服器上,那麼會簽發多少份證書給申請人?
  7. 可否申請一份電子證書(伺服器)同時具備"通用版"及"多域版"之特點?
  8. 在"搜尋及下載電子證書(伺服器)"的應用程式中,應使用哪一個伺服器名稱來搜尋電子證書(伺服器)"通用版"或"多域版"的證書?
  9. 可否用IP地址(互聯網規約地址)代替伺服器名稱以申請電子證書(伺服器)?
  10. 如何計算電子證書(伺服器)"通用版"之"附加伺服器數量"?
  11. 在申請電子證書(伺服器)"通用版"時,已登記附加伺服器數量,若在證書發出後,附加伺服器數量有所改變,應怎麼辦?
  12. 申請電子證書(伺服器)"通用版"時,伺服器名稱可否帶有多於一個通配符("*")?
  13. 電子證書(伺服器)"多域版"證書簽發後,可否增加/減少/更改其伺服器名稱?
  14. 可否只撤銷電子證書(伺服器)"多域版"的其中部份而非全部伺服器名稱?
  15. 甚麼是核證機關授權記錄?
  16. 香港郵政如何在發出證書前檢查核證機關授權記錄?
  17. 如何設定核證機關授權記錄來指定香港郵政為我的域名發出數碼證書?
  18. 我可否為中文網域名稱申請電子證書(伺服器)?
  19. 我可否申請一份顯示中文機構名稱的電子證書(伺服器)?
  20. 甚麼是交叉證書"Hongkong Post Root CA 3"? 我是否需要安裝此證書?
  21. 如果我已經安裝了於2019年發布,由Hongkong Post Root CA 1根源證書簽發有效期到2023年5月15日的"Hongkong Post Root CA 1"交叉證書("交叉證書 2019"),是否需要將其替換為"交叉證書 2022"?電子證書(伺服器)是否需要同時替換?
  22. O-20中提到的"交叉證書 2022"支援哪些版本的網頁瀏覽器和作業系統?"交叉證書 2022"和"Hongkong Post Root CA3"根源證書在支援範圍上有什麼分別?
  23. 甚麼是私人密碼匙資料外洩?
  24. 如果我懷疑自己的電子證書(伺服器)私人密碼匙資料已外洩,我應怎樣做?
  25. 如果我有與某電子證書(伺服器)私人密碼匙資料已外洩的證據,我可怎樣做?
  26. 什麼是延伸認證電子證書(伺服器)?延伸認證電子證書(伺服器)與現有的電子證書(伺服器)的認證程序有何不同?
  27. 延伸認證電子證書(伺服器)與現有的電子證書(伺服器)相比,有什麼優點?

P. 銀行證書(個人/機構/銀行)

  1. 甚麼是核證登記銀行?
  2. 如何申請銀行證書(銀行)?
  3. 如何申請銀行證書(個人)/銀行證書(機構)?
  4. 2015年12月發出的新版銀行證書(個人)/銀行證書(機構)與2010年3月前發出的銀行證書(個人)/銀行證書(機構)有何不同?
  5. 香港郵政銀行證書密碼匙長度是多少?
  6. 本人可申請多少份香港郵政銀行證書(個人)/銀行證書(機構)?
  7. 香港郵政銀行證書的有效期為多長?
  8. 我能否更改證書上的資料?
  9. 香港郵政核證機關支援什麼雜湊算法?
  10. 銀行證書與其他電子證書在功能上有何不同?
  11. 如何撤銷香港郵政銀行證書?

Q. 香港郵政根源證書 (Root CA 1) 更替

  1. 為什需要更替根源證書 "Hongkong Post Root CA 1"?
  2. 根源證書更替後的證書簽發及撤銷的安排會是怎樣?
  3. 根源證書的替換對電子證書登記人有什麼影響?
  4. 申請及撤銷電子證書的程序會否因根源證書更替而有所改變?
  5. 我們的應用系統支援香港郵政電子證書,我們可否在根源證書更替前,要求測試證書及證書撤銷清單作系統測試?
  6. 在完成根源證書更替後,現有根源證書是否會繼續更新及發佈授權撤銷清單(ARL)?
  7. 根據更替根源證書"Hongkong Post Root CA 1"的實施計劃,由2019年2月1日至2019年3月31日期間, 除了政府政策局/部門的電子證書(機構)會由根源證書Root CA1簽發外,相關指定政府電子服務的電子證書登記人,其電子證書(個人) 及電子證書(機構)亦會由根源證書Root CA1簽發。香港郵政核證機關備存指定政府電子服務清單,各政策局/部門如需要將其電子服務包括在清單內須與香港郵政核證機關商討。香港郵政核證機關備存的清單有那些指定的政府電子服務?

A. 香港郵政核證機關

A-1 為何應選擇香港郵政核證機關作為自己的核證機關?

香港郵政核證機關乃根據電子交易條例第553章獲認可的核證機關。香港郵政電子核證證書是由香港郵政署Postmaster General根據電子交易條例及獲認可核證機關作業守則的要求發出的獲認可證書。

此外,香港郵政核證機關實行嚴格的認證程序核實登記人的身分,為安全電子商務提供了基礎建設。認證程序的詳情請見香港郵政核證作業準則

A-2 香港是否有規定數碼簽署的法律?

有。電子交易條例第553章于2000年1月生效及于2004年7月修訂。該條例可于以下網站瀏覽:https://www.ogcio.gov.hk/tc/our_work/regulation/eto/index.html

A-3 電子核證證書的"倚據限額"的涵義是甚麼?

倚據限額指獲認可證書規定的可倚據貨幣限額。電子交易條例中的相關章節是第41和42節。

A-4 舊有核證機關系統終止運作

香港郵政已於2004年1月完成提升核證機關系統的作業,而新的核證機關系統(「新系統」-其根源(Root)為"Hongkong Post Root CA 1","Hongkong Post e-Cert CA 1"及"Hongkong Post e-Cert CA 1 - 10")亦已接管舊有核證機關系統(「舊系統」-其根源(Root)為"Hongkong Post Root CA"及"Hongkong Post e-Cert CA")的功能。

自2004年2月1日起,各類的認可證書已經由「新系統」發出;而「舊系統」亦已停止發出認可證書。由於「舊系統」發出的認可證書有效期為一年,所有此等證書的有效期已於2005年2月1日或之前終止,現時再無由「舊系統」所發出但仍然有效的認可證書。

「舊系統」已於2005年4月1日起終止服務,及終止以根源(Root)"Hongkong Post Root CA" 及 "Hongkong Post e-Cert CA" 發出證書撤銷清單(Certificate Revocation List, CRL)。「舊系統」已於2005年3月31日發出其最後的證書撤銷清單。

「舊系統」的終止運作並不影響「新系統」既有的運作(包括發出證書撤銷清單)。香港郵政核證機關的各項服務亦不會受影響。由「舊系統」及「新系統」發出的認可證書及證書撤銷清單,均可於公開儲存庫下載。

A-5 香港郵政核證機關於2010年2月26日更替中繼證書

中繼證書"Hongkong Post e-Cert CA 1"於2003年6月開始簽發認可證書及已於2013年5月15日到期。在中繼證書"Hongkong Post e-Cert CA 1"到期之前,為可持續簽發長達3年有效期的認可證書,香港郵政已於2010年2月26日完成更替中繼證書"Hongkong Post e-Cert CA 1"。

完成中繼證書更替後,中繼證書"Hongkong Post e-Cert CA 1"已停止簽發認可證書;而中繼證書"Hongkong Post e-Cert CA 1 - 10"已從2010年2月26日開始用作簽發認可證書及撤銷其所簽發的證書。電子證書的申請和撤銷程序不會因中繼證書更替而改變。

中繼證書"Hongkong Post e-Cert CA 1"的有效期已於2013年5月15日屆滿,其最後一次的證書撤銷清單已於當日下午2時15分發出。

如需閱覽更多資料,請参閱有關更替中繼證書的公告

A-6 於2010年2月26日的中繼證書更替會為電子證書登記人帶來什麼影響?

請参閱於2010年2月26日有關更替中繼證書的公告

A-7 香港郵政核證機關於2015年1月1日新增中繼證書"Hongkong Post e-Cert CA 1 - 14"

由2015年1月1日起,新增中繼證書"Hongkong Post e-Cert CA 1 - 14"開始用作簽發SHA-256電子證書(伺服器)及撤銷其所簽發的SHA-256電子證書(伺服器)。電子證書(伺服器)的登記程序和撤銷程序維持不變。

A-8 於2015年1月1日的新增中繼證書"Hongkong Post e-Cert CA 1 - 14"會為電子證書(伺服器)登記人在配置時帶來什麼影響?

安裝於2015年1月1日後發出的SHA-256電子證書(伺服器)時,登記人需在其應用程序,如網頁伺服器中安裝新的中繼證書"Hongkong Post e-Cert CA 1 - 14"以認可其證書。

A-9 中繼證書"Hongkong Post e-Cert CA 1"的有效期屆滿

中繼證書"Hongkong Post e-Cert CA 1"曾於下列期間發出電子證書及銀行證書:

  • 於2003年6月23日至2010年2月25日期間發出電子證書(個人)
  • 於2004年1月12日至2010年2月25日期間發出電子證書(機構)、電子證書(保密)、電子證書(伺服器)、銀行證書(個人)及銀行證書(機構)

中繼證書"Hongkong Post e-Cert CA 1"已由2010年2月26日起停止簽發認可證書及其有效期已在2013年5月15日屆滿。

中繼證書"Hongkong Post e-Cert CA 1"在2013年5月15日下午2時15分(香港時間)發出最後一次"整體證書撤銷清單"及"分割式證書撤銷清單",其後不再更新。早期所簽發的證書撤銷清單仍可供參考。

中繼證書"Hongkong Post e-Cert CA 1"的有效期屆滿後,除停止更新由中繼證書"Hongkong Post e-Cert CA 1"發出的證書撤銷清單外,其他香港郵政核證機關服務一律不受影響。

詳情可參閱中繼證書有效期屆滿之相關公告

A-10 香港郵政核證機關於2015年9月1日新增中繼證書"Hongkong Post e-Cert CA 1 - 15"

由2015年9月1日起,新增中繼證書"Hongkong Post e-Cert CA 1 - 15" 開始用作簽發支援線上證書狀態通訊規約的電子證書(伺服器)及撤銷其所簽發支援線上證書狀態通訊規約的電子證書(伺服器)。電子證書(伺服器)的登記程序和撤銷程序維持不變。

A-11 於2015年9月1日的新增中繼證書"Hongkong Post e-Cert CA 1 - 15"會為電子證書(伺服器)登記人在配置時帶來什麼影響?

安裝於2015年9月1日後發出的支援線上證書狀態通訊規約的電子證書(伺服器)時,登記人需在其應用程序,如網頁伺服器中安裝新的中繼證書 "Hongkong Post e-Cert CA 1 - 15" 以認可其證書。

A-12 根源證書"Hongkong Post Root CA 1"的有效期屆滿

根源證書"Hongkong Post Root CA 1"的有效期已在2023年5月15日屆滿。中繼證書 "Hongkong Post e-Cert CA 1 - 10" 、 "Hongkong Post e-Cert CA 1 - 14" 及 "Hongkong Post e-Cert CA 1 - 15" 已停止簽發認可證書及其有效期已在2023年5月15日屆滿。

詳情可參閱中繼證書有效期屆滿之相關公告


B. 公開密碼匙基礎建設(PKI)

B-1 甚麼是加密?

加密的概念十分簡單:透過特定程序(算法)及密碼匙,將訊息從初始(普通文本)轉換為另一種不易理解的形式(密碼文本)。之後,再使用同一個密碼匙將該訊息解密,恢復至其初始形式。若欲解密須知曉加密密碼匙。

根據當前使用的加密技巧,本系統的安全特別倚賴於加密密碼匙的長度。加密算法目前可公開獲得,因此密碼匙的複雜程度(即其長度)及機密程度成為確保加密安全強度的要素。

B-2 甚麼是公開密碼匙加密術及其原理?

公開密碼匙加密術或非對稱加密術構成數碼簽署及公開密碼匙基礎建設的基礎。該技術利用一對數學相關但不同的密碼匙私人密碼匙及公開密碼匙。私人密碼匙被機密保存,祗有其擁有者知曉,而公開密碼匙則用於廣泛傳播用途。

若使用某一密碼匙加密訊息,祗有使用與之相配的另一個密碼匙方能解密。

可以用公開密碼匙核實經私人密碼匙簽署的訊息,或對祗能用私人密碼匙解密的訊息進行加密。

B-3 甚麼是核證機關(CA)?

核證機關(CA)指發出供個人或機構使用之獨立認證數碼證書的組織。

B-4 甚麼是數碼證書?

數碼證書指由核證機關發出及數碼簽署的電子文檔,以核實證書持有人之身分。

B-5 甚麼是香港郵政電子核證證書?

香港郵政電子核證證書指由香港郵政核證機關(CA)發出、簽署及管理並符合X.509第三版本標準之數碼證書。

香港郵政核證機關提供四種不同類型的數碼證書:

  1. 香港郵政電子證書(個人)證書:用於瀏覽器及電子郵件程式,令用戶可向第三方證明自己的身分。
  2. 香港郵政電子證書(機構)證書:由機構、協會或政府部門使用,可用來向其會員∕僱員發出本機構證書,以進行安全的訊息傳送;及香港郵政電子證書(伺服器)證書:用於向用戶認證伺服器,由此以安全接層(SSL)訊息進行溝通。
  3. 香港郵政電子證書(保密)證書:只能用於作保密電子通訊的用途。這款證書不可以像個人證書及機構證書一樣,在信息上作數碼簽署。

B-6 甚麼是數碼簽署及其原理?

數碼簽署是一個獨特的位元串,針對每條訊息獨立產生,由發送者私人密碼匙"簽署",於該訊息發往目標接收人前附加於訊息上。透過使用發送者之公開密碼匙核實簽署,接收人將可確認發送者身分,並確定該訊息於發送過程未經更改。這樣,數碼簽署提供:

認證:證明電子交易各方之身分。

完整性:確信某一訊息的內容未被干擾或更改。

不得毀約:證明協議符合交易條款及防止任何一方不履行承諾。

B-7 甚麼是雜湊函數∕值?

雜湊函數技術用於計算任何給定訊息(代表訊息內容)的固定長度簡短摘要。雜湊函數令改變後的訊息不可能回復其初始狀態,且從計算角度來講很難發現任何兩條訊息雜湊出同一結果。

MD5及SHA為常見雜湊算法。

B-8 甚麼是S/MIME?

S/MIME(安全∕多用互聯網郵件引述)是透過互聯網發送安全電子郵件的未獲正式承認的事實標準。MIME是電子郵寄的行業標準格式,界定了訊息主體的架構。S/MIME使MIME標準增加了安全特徵。支援S/MIME的電子郵件應用程式使MIME格式增加了數碼簽署和加密功能。安全訊息格式的標準化,使用戶毋須使用電子郵件軟件即可進行私人和經驗證的溝通,祗要他們使用的軟件兼容S/MIME即可。要發送和接收安全電子郵件,您和您的接收人必須有公開密碼匙證書和兼容S/MIME的電子郵件應用程式。

B-9 為甚麼我的電子郵件上有一個S/MIME .p7s或 / 和S/MIME .p7m附件?

S/MIME是安全電子郵件規約,而.p7s是數碼簽署文檔,.p7m是加密文檔。如果收到這樣的附件,存在兩種可能:

  1. 您可能正使用以互聯網為基礎的電子郵件帳戶。建議您將電子郵件帳戶更換為一個不以互聯網為基礎的帳戶;
  2. 您可能正使用一個不兼容S/MIME的客戶程式,因而無法核實隨附的簽署。建議您將電子郵件客戶程式升級為最新版本(如MicrosoftOutlook 98/2000)或使用另一個兼容S/MIME的郵寄程式(如MicrosoftOutlook Express 5或Netscape Messenger 4.7或上述程式)。

B-10 甚麼是安全接層(SSL)?

SSL交接規約由NetscapeCommunications Corporation開發,用於在互聯網上提供安全和私隱保障。該規約支援伺服器和客戶認證。SSL規約獨立於應用程式存在,使HTTP(超文本傳送規約)、FTP(文檔傳送規約)及Telnet等規約可以排列在SSL的最上層。SSL規約能夠協調加密密碼匙,並在數據被高級應用程式交換前認證伺服器。SSL規約透過使用加密、認證和對話方塊密碼匙保持傳送渠道的安全和整體性。

B-11 如何發送經簽署及加密的電子郵件?

雙方若要交換經簽署及加密的電子郵件,必須:

  1. 雙方透過兼容S/MIME的電子郵件程式進行聯絡,及
  2. 雙方都有數碼證書。

若達到上述條件,訊息發送人可以用其郵寄程式中的"簽署"及∕或"加密"選項簽署和加密訊息。

B-12 怎樣才能獲得其他人的數碼證書(內含公開密碼匙),以向其發送加密電子郵件?

發送加密電子郵件的方法:

您應要求接收人發給您一封經簽署的電子郵件,並將證書儲存到您的地址登記簿內;或從香港郵政的聯機電子核證儲存庫(目錄)中按姓名或電子郵件地址查找數碼證書,再下載接收人的電子核證證書。

B-13 如何讀取收到的加密電子郵件?

如果電子郵件訊息已妥為加密(即用與私人密碼匙相對應的公開密碼匙加密),所加密的訊息將透過您的兼容S/MIME電子郵件應用程式為您自動解密(在您輸入密碼啟動私人密碼匙後)並向您顯示普通文本。

B-14 如何核實所收到的簽署訊息上的數碼簽署?

如果發送人已在簽署訊息中包括其公開密碼匙證書,訊息上的數碼簽署將透過您的兼容S/MIME電子郵件應用程式自動核實。在Netscape Messenger中,一個標明"經簽署" 的安全圖標將顯示於訊息右上角。

B-15 我怎樣才能知道收到的電子郵件是否被簽署或加密?

對於Netscape Messenger用戶:經安全處理的訊息的右上角有一個圖標,表示該訊息已經過"簽署"、"加密"或"簽署及加密"。

B-16 是否可以向沒有數碼證書的人發送安全電子郵件?

不可以。若需將所要發送的電子郵件訊息加密,您需要取得接收人的公開密碼匙。如果接收人沒有數碼證書,他∕她便沒有公開密碼匙。

但您可以向電子郵件應用程式支援S/MIME的接收人數碼簽署訊息。他們可以在訊息上核實您的簽署。


C. 香港郵政電子核證服務

C-1 香港郵政電子核證支援漢字嗎?

目前,香港郵政所採用的技術不支援漢字。因此,目前所有香港郵政電子核證證書祗能以英文發出。

C-2 香港郵政電子核證支援Elliptic Curve Cryptosystem (ECC)嗎?

目前,香港郵政不支援EllipticCurve Cryptosystem (ECC)。

C-3 香港郵政電子核證支援object signing和Authenticode嗎?

目前,香港郵政不支援object signing和Authenticode。

C-4 香港郵政電子證書密碼匙長度是多少?

香港郵政電子證書的密碼匙長度為RSA 2048位元。

C-5 香港郵政電子核證證書全球通用嗎?

香港郵政電子核證證書符合X.509第三版本標準(一項國際標準),因此可全球通用。

C-6 進入香港郵政核證機關網站有哪些系統需求?

本網站採用超文本標示語言HTML4.01標準建立網頁。使用者可透過任何支援此標準的瀏覽器瀏覽這些網頁。然而,網頁的實際展示方式會因瀏覽器、電腦及操作系統不同而異。建議使用者,為互聯網瀏覽器及操作系統安裝最新版本的保安修補程式,以瀏覽本網站。

C-7 我是否可以在Hotmail或其他電子郵件服務上使用電子核證?

不可以。以互聯網為基礎的電子郵件服務(如Hotmail或Yahoo)不兼容S/MIME。詳情請見課題S/MIME。

C-8 我的香港郵政電子核證證書屆滿後怎麼辦?

如果一份香港郵政電子核證證書屆滿,則不可再用來加密發送電子郵件。您應重新申請新的電子核證證書。

C-9 本人可申請多少份香港郵政電子核證證書?

您可隨意決定。每人可申請的香港郵政電子核證證書數目未加限制。

C-10 一份香港郵政電子核證證書的費用是多少?

香港郵政電子核證證書的登記費如下:
證書類型 每年費用(港元)
個人(非"互認版") ** 推廣價: 每份電子證書48港元
機構(非"互認版") ** 推廣價:
首次申請一年有效期的電子證書47港元
首次申請二年有效期的電子證書188港元
非首次申請或續期一年有效期的電子證書141港元
非首次申請或續期二年有效期的電子證書282港元
(每次申請加收行政費)
保密 每份電子證書150港元
(每次申請加收行政費)
伺服器〔非"通用版"和"多域版"〕 ** 推廣價: 每份電子證書2,350港元
伺服器"通用版" ** 推廣價: 每份電子證書8,265港元 + 每台附加伺服器475港元
伺服器"多域版" 每份電子證書3,000港元 + 每個額外伺服器名稱2,500港元
延伸認證電子證書(伺服器)(非"多域版") ** 推廣價: 每份電子證書2,700港元
延伸認證電子證書(伺服器)"多域版" 每份電子證書3,500港元 + 每個額外伺服器名稱2,500港元
機構職務 每份電子證書150港元
(每次申請加收行政費)
政府電子證書(個人) ** 推廣價: 每份電子證書18港元

**2023年7月1日起,幾類電子證書登記費用會提供推廣折扣優惠。詳情請參閱有關公告

C-11 香港郵政電子核證證書的有效期為多長?

  • 香港郵政電子證書(個人)有效期為三年。
  • 香港郵政電子證書(機構)有效期為一年或兩年。
  • 香港郵政電子證書(伺服器)、電子證書(伺服器)"通用版"及電子證書(伺服器)"多域版"有效期為一年。
  • 香港郵政電子證書(保密)有效期為一年、兩年、三年或四年。

C-12 我能否更改證書上的資料?

數碼證書一經產生即不可更改。如果您更改了證書上的任何資料(如姓名或電子郵件地址),必須申請新的證書,同時亦應撤銷現行證書。

C-13 香港郵政核證機關支援什麼雜湊算法?

香港郵政核證機關只會簽發SHA-256的電子證書。

C-14 香港郵政核證機關簽發的電子證書(伺服器)支援線上證書狀態通訊規約 (OCSP) 嗎?

香港郵政核證機關將分階段落實簽發支援線上證書狀態通訊規約的電子證書(伺服器)。由2015年9月1日至2016年8月31日,香港郵政核證機關所簽發的電子證書(伺服器)將預設為支援線上證書狀態通訊規約,但登記人仍可提交書面要求簽發有效期為一年的不支援線上證書狀態通訊規約的電子證書(伺服器)。由2016年9月1日起,香港郵政核證機關只會簽發支援線上證書狀態通訊規約的電子證書(伺服器)。詳情請參閱香港郵政核證機關網站的公告

由2019年7月1日起,電子證書(伺服器)證書的線上證書狀態通訊規約 (OCSP)應答會即時反映證書的撤銷狀態。

C-15 為何瀏覽器首先須接受香港郵政根源核證機關的證書?

香港郵政根源核證機關證書非未預先安裝於標準瀏覽器中。即您必須自行將香港郵政根源核證機關證書裝載於自己的瀏覽器中。有了此份根源證書,香港郵政核證機關發出的證書才會有效。

C-16 我應在何處下載香港郵政根源證書?如何將其安裝於瀏覽器中?

香港郵政根源證書可從"下載"標題進行下載。

C-17 如何重新獲得已丟失或被意外刪除的電子核證?

若丟失香港郵政電子核證證書,必須立即撤銷自己的證書。萬一您意外刪除了自己的證書,您祗需從備存文檔中調出證書即可。若沒有備存文檔,則須呈遞一份新申請。

C-18 為何設置香港郵政電子核證證書備存文檔十分重要?

若丟失自己的證書,且未設置備存文檔,您將無法進入自己的所有舊加密訊息(因為您已不擁有用於解密該等訊息的私人密碼匙)。因此,設置證書備存文檔至關重要。

C-19 我是否可以將一個香港郵政電子核證證書用於多個電子郵件地址?

目前,幾乎所有普通瀏覽器均不能在單個證書上認可多個電子郵件地址。因此,香港郵政核證機關採用每份證書對應一個電子郵件地址的政策。

C-20 香港郵政電子核證證書的認證程序是甚麼?

認證程序詳情請參閱香港郵政核證作業準則

C-21 為何香港郵政向未成年人發出數碼證書?

這是香港郵政激發年青一代參加安全電子交易和通訊的措施。如果證書持有人在提交申請時仍未成年,證書上將顯示"香港郵政電子證書(個人∕未成年)"字樣。茲提醒倚據人士,未成年人不能合法訂立合約,任何與未成年人進行的交易將來可能被判無效或作廢。

C-22 可否從香港郵政伺服器目錄中查閱保密證書?

當然可以。保密證書與其他由香港郵政簽發的證書一樣,會載入目錄供公眾查閱。

C-23 有關香港郵政電子核證證書使用條件的資料可以在哪裏查閱得到?

全港郵政局的櫃位均備有登記人協議及核證作業準則以供索閱,這兩份文件詳載電子核證證書使用條件的各項條文。香港郵政核證機關網頁亦載有核證作業準則全文。

C-24 如收件人以同一電郵地址登記不止一張數碼證書,如何以Netscape瀏覽器搜尋指定的一張?

你須透過Hongkong Post e-Cert Directory的目錄,在搜尋根欄內輸入多幾個明確的字眼。舉例來說,在搜尋根一欄輸入"OU=0000920170,O=Hongkong Post e-Cert (Personal),C=HK",便可把搜尋範圍局限於電子證書(個人)證書和SRN=0000920170之內。如需獲取更多有關在Hongkong Post e-Cert Directory目錄之下,設定較詳盡搜尋根值的資料,請參閱有關用戶指南

C-25 為甚麼電子證書申請人必須親往郵政局辦理身分認證手續?

電子證書是確保顧客能夠安全而穩妥地進行電子交易的數碼證書。香港郵政有責任在處理證書申請時,妥為確認申請人的身分。因此,要求申請人親往郵政局辦理手續是保障申請人的必要措施,以便在簽發電子證書前,面對面確認申請人的身份及向申請人派發密碼信封。

C-26 可否在午飯時段﹑週末或週日到郵政局辦理身分認證手續?

可以。郵政局午飯時段照常開放,個別分局(中環郵政總局及尖沙咀郵政局)亦於週末下午及週日上午九時至下午二時繼續辦公為市民服務。各郵政局辦公時間,可於香港郵政核證機關網頁查閱。

C-27 如在安裝電子證書過程中遇到任何問題的話,可如何求助?

可致電電子證書熱線29216633。

C-28 香港郵政將電子證書儲存媒體郵寄給申請人的安排是否恰當?

香港郵政非常重視電子證書的保安問題。以郵寄方式發出電子證書儲存媒體可免除申請人到郵政局多走一趟。為加強保安,電子證書儲存媒體是以紀錄派遞的方式寄出,換言之,收件人必須親自認收。此外,電子證書須配合個人密碼,而這個密碼已在申請人提出申請時交給申請人。

C-29 電子證書可否在運行Linux和Mac操作系統的電腦上使用?

各版本的Windows系統都支援使用電子證書。但Linux和Mac的用家則須要安裝合適的嵌入軟件,以使用電子證書。關於嵌入軟件的資料,可向有關的Linux和Mac系統供應商查詢。

C-30 電子證書(機構職務)和電子證書(機構)有什麽分別?

電子證書(機構職務)和電子證書(機構)均是供登記人機構之成員或僱員使用。而電子證書(機構職務)額外的特點,是可包含登記人機構提供的授權用戶的職銜或職位資料,同時,電子證書(機構職務)只可用於其登記人機構之指定系統。有關其他要點,請參閱電子證書(機構職務)《核證作業準則》附錄D。

C-31 本機構適合使用電子證書(機構職務)還是電子證書(機構)?

電子證書(機構職務)可於登記人機構之公匙基建應用中作數碼簽署及加密與解密電子信息。此外,電子證書(機構職務)只可用於其登記人機構之指定系統。如機構有意申請電子證書(機構職務),請致電香港郵政核證機關熱線2921 6633或電郵至enquiry@eCert.gov.hk查詢。

C-32 電子證書(機構職務)和電子證書(機構)在申請程序上有什麽分別?

電子證書(機構職務)和電子證書(機構)在申請程序上的主要分別在於,登記人機構必須先與香港郵政核證機關作出安排,香港郵政核證機關才可以為登記人機構發出電子證書(機構職務),而申請使用電子證書(機構)僅由登記人機構自行判定。

C-33 爲什麽登記人機構必須先與香港郵政核證機關作出安排,香港郵政核證機關才可以為登記人機構發出電子證書(機構職務)?

電子證書(機構職務)只可用於其登記人機構之指定應用。所以,登記人機構必須先與香港郵政核證機關作出安排,香港郵政核證機關才可以為登記人機構發出電子證書(機構職務)。

C-34 電子證書上的「登記人機構名稱」和「登記人機構分行/部門名稱」的欄位長度最長是多少?

為符合國際標準,電子證書上的「登記人機構名稱」和「登記人機構分行/部門名稱」長度均不能超過64個字元。如果提交的「登記人機構名稱」或「登記人機構分行/部門名稱」長度超過64個字元,香港郵政核證機關會聯絡申請人並按照以下縮寫列表對超過64個字元的名稱進行縮寫,使其長度不超過64個字元。

縮寫列表
詞彙 縮寫
Branch Br.
Centre Ctr.
Committee Cmte.
Company Co.
Department Dept.
Hong Kong HK
Incorporated INC.
Limited Ltd.
Management Mgmt.
School Sch.

C-35 我們是香港數碼港推行的「智方便」沙盒先導計劃("計劃")的參與者。我可否申請試用版電子證書(保密)用於該計劃進行測試?

歡迎您就該測試程式的計劃提出申請試用版電子證書(保密)。為了使參與者能遞交電子證書的公開密碼匙予該計劃以參與測試,該計劃的每位參與者可以申請一份試用版的電子證書(保密)。查詢請致電香港郵政核證機關客戶服務電話2921 6633或電郵至enquiry@eCert.gov.hk,標題請註明"「智方便」先導測試 - 電子證書(保密)試用版"。


D. 電子證書(伺服器)提交證書簽署要求(CSR)

D-1 甚麼是證書簽署要求(CSR)?

證書簽署要求(CSR)是一個由您的伺服器所產生並包含你的機構資料和公開密碼匙的要求。香港郵政核證機關會根據您的證書簽署要求以發出您的電子證書(伺服器)。

D-2 如何發出證書簽署要求(CSR)?

請參閱電子證書(伺服器)用戶指南以了解base64編碼和附合PKCS#10格式的證書簽署要求(CSR)。請確保於「Common Name」一欄輸入正確的登記域名(例如:www.example.com)及「Country」一欄輸入「HK」。

D-3 在電子證書(伺服器)提交證書簽署要求(CSR)過程中,我應該將甚麼貼上Certificate Signing Request (CSR)的文字方格?

您應該將整個證書簽署要求(CSR)的內容包括 "-----BEGIN NEW CERTIFICATE REQUEST-----" 及 "-----END NEW CERTIFICATE REQUEST-----" 貼上Certificate Signing Request (CSR)的文字方格。

D-4 如果我沒有在提交證書簽署要求(CSR)過程的最後步驟下載我的電子證書(伺服器),我應該怎樣辦?

成功完成提交證書簽署要求(CSR)過程後,您可以從搜尋及下載證書網頁下載您的電子證書(伺服器)。

D-5 如何為具中文網域名稱電子證書(伺服器)發出「證書簽署要求」 (CSR)?

如使用中文網域名稱,登記人需使用國際網域名稱轉換工具轉換成ASCII 字元。


E. 電子核證代製密碼匙服務常見答問

E-1 何謂代製密碼匙服務?如何運作?

香港郵政代登記人製作配對密碼匙﹝包括私人密碼匙及公開密碼匙﹞及產生電子證書。整個過程會在香港郵政的設施內穩妥地進行,以確保配對密碼匙及證書不會被篡改。配對密碼匙及證書會以密碼保護並存於電子證書儲存媒體上。電子證書儲存媒體會以掛號形式郵寄給登記人。登記人須以另外分發的密碼開啟電子證書儲存媒體上的證書檔案。

E-2 是否各種證書都可使用這項服務?

個人、機構及保密證書均可免費使用代製密碼匙服務。如有意使用這項增值服務,請在遞交香港郵政電子核證證書申請表時一併提出,並指定領取證書檔案的方式。

E-3 有沒有設定防護措施保護由代製密碼匙服務產生的證書檔案?

香港郵政代登記人製作的配對密碼匙均經加密,在完成送遞電子證書及私人密碼匙給登記人後,密碼匙會從香港郵政系統中刪除。

E-4 有沒有應用工具或程式可以更改電子證書檔案的密碼?

可以從香港郵政核證機關網頁下載「更改電子證書檔案密碼程式」,即可以方便快捷的方法更改上述檔案的密碼。軟件下載後,只需進行簡易安裝程序,程式便可使用。

E-5 使用「更改電子證書檔案密碼程式」軟件有沒有甚麼限制?

更改電子證書檔案密碼程式」 軟件為香港郵政電子證書登記人而設。用戶可免費使用此軟件更改存於電子證書檔案USB上電子證書檔案(PKCS#12格式)的密碼。此軟件只能在微軟Windows平台操作。


F. 技術問題

F-1 怎樣才能知道自己的香港郵政電子核證證書是否已安裝好?

若屬Netscape用戶:

  1. 打開Netscape瀏覽器;
  2. 按一下主工具欄中的保安圖標(該圖標類似一個掛鎖);
  3. 自左側菜單中選擇Certificates>Yours。核實您的新電子核證是否已列入個人證書顯示區域。
  4. 查看電子核證詳細資料,選擇(電子核證),再按一下"View"按鈕。

F-2 個人辨識密碼好象不起作用時怎麼辦?

您必須正確輸入個人辨識密碼,確保:

  1. 個人辨識密碼包括全部16位數字;
  2. 個人辨識密碼前後或其間沒有空格。

若仍有問題,請聯絡香港郵政核證機關查詢熱線29216633。

F-3 為何在下載證書後不久即收到"證書已屆滿"訊息?

此種情況發生的原因可能是個人電腦的系統時間慢於我們核證機關系統的系統時間。我們的核證機關系統使用全球定位系統(GPS)時鐘戳印證書時間。為避免此種情況,您可稍等片刻或修改您的系統時鐘

F-4 本人已刪除自己的 Netscape Navigator,並已安裝最新版本。我怎樣重新安裝自己的數碼證書?

若您已清除舊版Netscape Navigator,那麼您亦已刪除包含與您的電子證書有關的私人密碼匙的文檔。若沒有私人密碼匙或備存文檔,您就不可能重新安裝自己的電子證書。您需要申請一份新證書。

使用Netscape安裝程式升級Navigator可以保留您的個人資料(包括電子證書及私人密碼匙)。

F-5 如何判斷自己是否連接到一個安全伺服器上?

進入由香港郵政電子證書(伺服器)證書加密的伺服器,用戶可以在互聯網瀏覽器下面或Netscape瀏覽器主工具欄上看到一個掛鎖形圖標,按一下此掛鎖圖標,即可瀏覽伺服器證書的詳情。

F-6 怎樣才能獲得128位元∕全強度對話方塊?

首先,人們所說的128位元或40位元連接通常指"對話方塊密碼匙"。這是一個對稱密碼匙,該密碼匙在瀏覽器∕伺服器初次"對接"完成之後,當瀏覽器連接用來加密及解密數據(於伺服器之間傳送)的伺服器時,由瀏覽器製造。

如果您的伺服器支援全強度對話方塊,且連接於網站的瀏覽器支援128位元,即可製造及使用一個128位元對話方塊密碼匙。

美國出口的瀏覽器祗能製造40位元對話方塊密碼匙,但美國國內經銷或美國以外公司生產的瀏覽器則能製造128位元對話方塊密碼匙,因而可連接到以類似方法生產或銷售的全強度密碼伺服器上。

在美國以外的國家,若干財務機構及政府機構可申請全球伺服器證書(有時稱為Step-up伺服器證書)。若在伺服器上安裝任何一份上述證書,即可保證用任何瀏覽器進行128位元連接,不論瀏覽器屬於"出口"或"國產"類型。

F-7 我在自己的伺服器證書申請上應使用甚麼網域名稱?

請慎重選擇自己的網域名稱。證書一經發出,即不可更改該項資料。網域名稱應與安裝證書的伺服器名稱完全相同,當在伺服器上連接一個瀏覽器時,其網域名稱將與證書上的網域名稱相配。若不相配,瀏覽器將發出認證錯誤資訊。

F-8 保密證書內哪個字段控制一對密碼匙的用途?

"密碼匙用途" 的擴充字段規定一對密碼匙的用途。香港郵政電子證書(保密)證書只設定成"保密密碼匙"及 "數碼簽署" 位元。

F-9 電子證書(保密)證書的用途為何?

此類證書只可用作:

  1. 傳送加密之電子信息予登記人機構;
  2. 容許登記人機構為信息解密;及
  3. 容許登記人機構發出認收信息並附加其數碼簽署以證實其登記人機構收件身分,藉此確認已收訖送出之加密信息。

此外,此類證書產生之數碼簽署只可用作認收電子信息,並只可用於與聯機付款或聯機投資無關或不相連或不會聯機為任何人士或實體帶來任何性質之財務利益之交易。不論任何情況,此等證書產生之數碼簽署均不得用作認收與洽商或訂定合約或任何具法律效力之協議有關而傳送之電子信息。

F-10 在Crypto Tools 軟件內使用電子證書

已於2003年結業的i-Security Solutions Limited (iSSL)(該公司)所發行的Crypto Tools軟件,已於該公司結業後停止發售及分發。如你仍使用該軟件,以香港郵政電子證書作為數碼簽署及加密用途,你應注意:由於使用或分發該軟件所引致的索償,香港郵政概不接受、亦不承擔任何責任。


G. 撤銷證書

G-1 如何撤銷香港郵政電子核證證書?

登記人可於任何時間以任何理由提出要求撤銷其證書。

可使用下列方法提出撤銷證書的要求:

  1. 透過傳真27759130發出撤銷證書的要求,該文件之正本需以郵寄方式交回。
  2. 發函至香港東九龍郵政局信箱68777號香港郵政核證機關。
  3. enquiry@eCert.gov.hk發送一份經數碼簽署的電子郵件。
  4. 親自前往郵局簽署一份撤銷證書的要求(請使用原始申請表上的簽署)。
  5. 如於網上提交電子證書(伺服器)的撤銷證書要求, 需輸入獲授權代表的個人資料及於密碼信封上的十六位密碼,此密碼信封於獲授權代表提交申請表時親身接收。

所有證書之暫時吊銷或撤銷僅在此等暫時吊銷或撤銷已被公佈於證書撤銷清單(Certificate Revocation List)後方告生效。

個人證書的要求

個人證書祗可由該證書的登記人撤銷。

撤銷機構證書的要求

機構證書可由下列人士撤銷:

  1. 獲指明為機構授權代表之人,且在申請時申請表上有其作為授權簽署人的簽署;
  2. 作為證書登記人在證書上列出其姓名之人。

撤銷伺服器證書的要求

伺服器證書可由獲指明為機構授權人士之人撤銷,且在申請時申請表上有其作為授權簽署人的簽署。

撤銷保密證書的要求

保密證書可由獲指明為機構授權人士之人撤銷,且在申請時申請表上有其作為授權簽署人的簽署。

向登記人∕授權代表發出確認書

根據傳真撤銷證書申請,香港郵政將在證書上設置"存留"以使暫時吊銷生效,但並非撤銷證書。此後,登記人須向香港郵政發出其原始撤銷函,以完成撤銷程序。親自到場辦理或數碼簽署的撤銷要求會直接作為即時撤銷處理,而毋須經過"存留"程序。收到撤銷證書申請一周內,香港郵政將盡力向登記人發出撤銷通知書。

辦理撤銷證書要求的營業時間

星期一至星期五 上午九時至下午五時

星期六 上午九時至中午十二時

星期日及公眾假日 上午九時至中午十二時

若於任何工作日懸掛八級(或以上)熱帶氣旋警報訊號或黑色暴雨警報訊號,且在當日早上六時或之前訊號除下,香港郵政核證機關將照常營業。若訊號在任何工作日 (星期六、日及公眾假日除外)早上六時至上午十時之間或上午十時除下,香港郵政核證機關將於當日下午二時營業。

服務保證和證書撤銷清單更新

  1. 香港郵政將作出合理努力,查看在(1) 香港郵政自登記人處收到撤銷申請或 (2) 在無此申請之情況下,香港郵政決定暫停或撤銷證書,兩個工作日內,暫停或撤銷證書及將撤銷清單予以公佈。
  2. 然而,證書撤銷清單并不會於各證書撤銷後隨即在公眾目錄中公佈。祗有在下一份證書撤銷清單更新時一并公佈,證書撤銷清單介時才會顯示該證書已撤銷的狀態。[證書撤銷清單每日公佈三次(公佈時間為香港時間09:15、14:15 及19:00)。]

為避免疑點,所有星期六、星期天、公眾假日及懸掛熱帶風暴及暴雨警報信號的工作日均不計工作日。

G-2 為甚麼要在證書屆滿前撤銷證書?

如果您懷疑自己的私人密碼匙已外洩,或不願再參加香港郵政公開密碼匙基礎建設,我們建議您撤銷(取消)自己的證書。此外,就電子證書(伺服器)及延伸認證電子證書(伺服器)而言,你可撤銷你的證書以防止證書被繼續使用:

  • 你不再控制或不再被授權使用擁有證書中指明的所有網域名稱;
  • 你因為將終止網站而不再使用證書;
  • 你的證書中的機構名稱或其他機構資料已經更改;或
  • 你要求以新證書替換現有證書。

G-3 如何核實已撤銷證書的進展情況?

如欲查明已撤銷的香港郵政電子核證證書的狀況,可接達目錄伺服器ldap1.eCert.gov.hk,查閱香港郵政核證機關證書撤銷名單;名單上的資料會每日更新。由於目錄伺服器的證書撤銷名單只可以輕量級目錄存取協定(LDAP)取讀,查閱名單的人士須使用具LDAP功能的用戶軟件(如電子證書客戶套件內的強碼一號軟件),方能取讀資料。客戶亦可前往香港郵政核證機關網頁,接達一致性資源定址器URL: http://crl1.eCert.gov.hk/crl/eCertCA1-10CRL1.crl,取讀證書撤銷名單。客戶如使用微軟視窗,在開啟CRL檔案時,熒幕會出現證書撤銷名單,順序詳列各已撤銷的證書。有關的證書可按序查找。另請注意,證書撤銷名單不會載列已過期證書狀況的資料。


H. 刪除和恢復問題

H-1 如果我的硬碟出現故障,是否有辦法恢復香港郵政電子核證證書?

硬碟故障可能會刪除您電腦中的證書。證書一旦丟失,就無法重新獲得。在這種情況下,您首先須撤銷自己的證書,然後登記一份新證書。您也可以恢復自己的備存文檔並將該文檔加入自己的瀏覽器中。

H-2 如果電腦和證書同時失竊應該怎麼辦?

由於您的數碼證書受密碼保護,一般情況下任何其他人都不可能假冒您使用您的數碼證書。但如果您的電腦失竊,我們建議您應立即撤銷自己的證書,然後登記一份新證書。

H-3 我是否應該刪除已屆滿或已撤銷的電子證書?

您不應該刪除已屆滿或已撤銷的電子證書。刪除證書後,您將不能再進入與證書相關的私人密碼匙,因此不再可能閱讀以該證書加密的訊息。


I. 備存和轉移證書

I-1 如何儲存數碼證書的備存文檔?

每個瀏覽器有其自己的備存程序。對於Microsoft Edge用戶:

  1. 按一下主工具欄中的安全圖標(類似掛鎖的圖標),
  2. 從左側目錄中選擇「穩私權、搜尋與服務」,然後點擊「管理憑證」。
  3. 選擇您要儲存的電子核證證書並按一下匯出,
  4. 系統將提示您選擇傳送密碼,每當您輸入或打開該電子核證文本時都要提供該密碼。按一下確認,
  5. 選擇您儲存電子核證證書的位置(如您的電子證書檔案USB)及檔案名稱。按一下儲存,
  6. 以安全的方式保護您的電子證書檔案USB或其他媒介和您的傳送密碼。

I-2 如何將我的數碼證書轉移到另一台電腦?

轉移電子核證證書的第一步是將證書從電腦硬碟儲存("輸出")到電子證書檔案USB或其他轉移媒介。您的電子證書成功輸出後,您可以將其輸入另一台新電腦。將電子證書輸入Microsoft Edge的方法如下:

  1. 按一下主工具欄中的安全圖標(類似掛鎖的圖標),
  2. 從左側菜單中選擇「穩私權、搜尋與服務」,然後點擊「管理憑證」。
  3. 選擇匯入,
  4. 系統將提示您提供您用於保護電子核證證書的密碼,
  5. 從備存電子證書的電子證書檔案USB或其他媒介(應具備.p12引述)中找到您的電子證書。用滑鼠點中證書 並按一下打開,
  6. 輸入自己的傳送密碼並按一下確認。

附註:在刪除舊證書和過渡檔案前,請確保您已將證書成功輸入另一台新電腦。


J. 電子證書(個人)續期

J-1 為什麼電子證書(個人)用戶在證書三年有效期屆滿時沒有收到電郵續期通知?

如果用戶沒有提供電郵地址或更改電郵地址時沒有通知香港郵政核證機關,則香港郵政核證機關沒法透過電郵通知用戶。用戶可致電客戶服務熱線29216633或發電郵至enquiry@eCert.gov.hk查詢。

J-2 延長登記使用期與證書續期有甚麼分別?

「延長登記使用期」---- 電子證書(個人)用戶在證書三年有效期內,於證書每年登記使用期屆滿前,需要繳付年費HK$48,以延長登記使用期。否則,香港郵政會撤銷該電子證書使其終止有效。根據電子交易條例的規定,香港郵政會將已撤銷電子證書的序號載入「證書撤銷清單」內,並於香港郵政核證機關網頁內公佈。用戶於延長登記使用期後,仍可繼續使用電子證書儲存媒體內的電子證書。用戶將不會獲發新密碼封套及電子證書儲存媒體。

「證書續期」---- 每張電子證書(個人)的有效期為三年,用戶在證書三年有效期屆滿前,需要辦理續期申請並繳付年費HK$48。用戶將獲發新的密碼封套及已續期的電子證書於用戶所選擇的電子證書儲存媒體內。

J-3 用戶該如何辦理續期?可透過甚麼途徑?

用戶可透過網上或親臨郵局辦理續期申請。但續期方法會因個別用戶需要而有所分別,詳情請参閱有關「電子證書續期」的網頁。

J-4 續期的電子證書(個人)的有效年期為多少?收費如何?

續期的電子證書(個人)有效年期為三年,登記使用期為一年。登記人需在每一年繳付年費及電子證書儲存媒體費用(如適用)。現行的證書續期費用及電子證書儲存媒體費用已載於香港郵政網站

J-5 我可否一次過繳付三年登記使用期的費用?

不可。暫時登記使用期的費用需逐年繳交。

J-6 電子證書(個人)用戶續期時會否獲得新密碼信封?

用戶續期電子證書時會獲派發新密碼信封。

J-7 電子證書獲續期後,收到了新的密碼信封及電子證書儲存媒體,是否可以棄掉舊有電子證書的密碼及電子證書儲存媒體?

用戶需保存續期前的密碼信封及電子證書儲存媒體,以便使用續期前的電子證書。新的密碼信封會適用於儲存在已續期的電子證書儲存媒體。

J-8 用戶可循哪些途徑查詢有關電子證書事宜?

用戶可致電客戶服務熱線29216633、透過電郵至 enquiry@eCert.gov.hk 或親臨任何一間郵局查詢有關電子證書事宜。


K. 電子證書檔案USB

K-1 什麼是電子證書檔案USB?

電子證書檔案USB是一款如信用卡大小的USB快閃記憶儲存媒體,是用來儲存香港郵政電子證書的儲存媒體,透過電腦的USB連接埠,可容易地讀取儲存在內的電子證書。

K-2 電子證書檔案USB的主要好處是什麼?

電子證書檔案USB的主要優點,是用戶可透過電腦的USB連接埠直接讀取儲存在內的電子證書,而無需安裝驅動程式,及無需要額外的設備。

K-3 我需要支付電子證書檔案USB的費用嗎?

電子證書申請人在申請電子證書時,可選擇以每件港幣40元的電子證書檔案USB作為電子證書儲存媒體。

K-4 軟磁碟在何時不再是電子證書儲存媒體的其中一個選擇?

香港郵政核證機關已由2013年4月1日起停止使用軟磁碟作為電子證書儲存媒體。

K-5 由於安全的理由,我的辦公室的電腦USB連接埠被禁用,我怎麼能讀取我的電子證書檔案USB內的電子證書?

我們建議您可聯絡您的資訊科技支援團隊,尋求他們的意見和協助。

K-6 我申請電子證書時沒有選擇電子證書檔案USB。在收到我的電子證書後,我可以選購電子證書檔案USB嗎?

不能。


L. 電子證書Token

L-1 什麼是電子證書Token?

電子證書Token是一種PKCS#11加密儲存媒體,是香港郵政電子證書(個人)/電子證書(機構)"互認版"的儲存媒體。用戶可透過電腦的USB連接埠直接讀取儲存在內的電子證書。

L-2 那一種類的香港郵政電子證書採用電子證書Token作為儲存媒體?

電子證書(個人)"互認版"及電子證書(機構)"互認版"只可儲存在電子證書Token (e-Cert Token),而每份電子證書必須獨立存放於電子證書Token。

電子證書Token 每件為港幣290 元。

L-3 電子證書Token和電子證書檔案USB有什麼不同之處?

電子證書Token是一種便攜式PKCS#11加密儲存媒體,所儲存的電子證書不能被匯出到其他的儲存媒體上。電子證書檔案USB是一款如信用卡大小的USB快閃記憶儲存媒體,是用來儲存香港郵政電子證書的儲存媒體。電子證書檔案USB上的電子證書可以被匯出到其他的儲存媒體上。

L-4 電子證書Token (SafeNet)和電子證書Token (FEITIAN)有什麼不同之處?我應該如何選擇?

香港郵政核證機關提供兩款電子證書Token(即電子證書Token (SafeNet)和電子證書Token (FEITIAN))予電子證書(個人)"互認版"及電子證書(機構)"互認版"的申請人選擇。

請注意,針對現時可接受使用電子證書(個人)"互認版"及/或電子證書(機構)"互認版"的網上服務,有部分目前只支援使用其中一款電子證書Token。因此,登記人請先向網上服務供應商查詢,以確定所支援電子證書Token的類型。

目前只接受其中一款電子證書Token的網上服務,詳情如下:

(1) 下列的網上服務只接受儲存於電子證書Token (SafeNet)的電子證書:

網上服務供應商 服務詳情
屋宇署 - 電子資料呈交及處理系統
https://esh.bd.gov.hk/
  • 賬戶註冊和登錄。
  • 以電子方式提交需要數碼簽署的PDF表格。
政府物流服務署 - 採購及合約管理系統
https://pcms2.gld.gov.hk/iprod/#/
home?lang-setting=zh-HK
  • 透過電子投標箱(eTender Box) 遞交標書。

(2) 下列的網上服務只接受儲存於電子證書Token (FEITIAN)的電子證書(個人)"互認版":

網上服務供應商 服務詳情
廣州市政府 - 廣州市開辦企業一網通平台
https://air.scjgj.gz.gov.cn/v2/
ecGovBizGuangzhouHkSign/#/login
  • 香港特別行政區居民身份證認證登錄。

L-5 怎樣讀取儲存在電子證書Token內的電子證書(個人)"互認版"電子證書?

用戶可透過電腦的USB連接埠直接讀取儲存在電子證書Token內的電子證書,而無需要額外的設備。

L-6 由於安全的理由,我的辦公室的電腦USB連接埠被禁用,我怎麼能讀取我的電子證書Token內的電子證書?

我們建議您可聯絡您的資訊科技支援團隊,尋求他們的意見和協助。

L-7 我可否更改存於電子證書Token的密碼?

可以。電子證書Token (SafeNet)的用戶,可以使用"SafeNet Authentication Client"軟件來更改電子證書Token的密碼。請參閱電子證書Token附帶的程式套裝。電子證書Token (FEITIAN)的用戶,可以使用電子證書Token (FEITIAN)管理工具軟件來更改電子證書Token的密碼。

另可參閱相關用戶指南(SafeNet)或(FEITAIN)以獲得更多信息。

同時,請你小心保管你的電子證書Token的密碼,香港郵政核證機關將不會保留你的電子證書Token的密碼。密碼一旦丟失或忘記,基於保安理由,我們建議你撤銷你的電子證書,然後重新申請新的電子證書。。你須要繳交表格上定明的年費。

L-8 若我的電子證書Token已損壞,不能讀取電子證書資料,我應怎樣做?

你可經香港郵政核證機關網頁要求撤銷你的電子證書,然後重新申請新的電子證書。你須要繳交表格上定明的年費。

L-9 如果遺失了電子證書Token,我應該怎樣辦?

基於保安理由,我們建議你撤銷你的電子證書,然後重新申請新的電子證書。你須要繳交表格上定明的年費。


M. 電子證書(個人)"互認版"及電子證書(機構)"互認版"

M-1 電子證書(個人)"互認版"和 電子證書(機構)"互認版",有何好處?

電子證書(個人)"互認版"和 電子證書(機構)"互認版"已被香港郵政指定參與《粵港兩地電子簽名證書互認辦法》下的證書互認計劃。證書獲AdobeR信任,適用於PDF文件簽署。

香港郵政已指定電子證書(個人)"互認版" 及電子證書(機構)"互認版" 參與《粵港兩地電子簽名證書互認辦法》下的證書互認計劃。有關具互認資格的特定證書類別及這些證書類別的互認識別方法,請參閱廣東省經濟和信息化委員會發布的官方信任列表(http://gdii.gd.gov.cn/list/content/post_949021.html),以確定證書類別是否具互認資格及其有效期。政府資訊科技總監辦公室亦會在其信任列表備存有關資料的副本,以供參考。

M-2 我已擁有電子證書(個人)/電子證書(機構),現在想轉用電子證書(個人)"互認版"/ 電子證書(機構)"互認版",應如何申請?

可以填寫(個人)"互認版"/ 電子證書(機構)"互認版"的申請表,到郵政局辦理手續及繳交費用即可完成申請。而原有的電子證書(個人)/電子證書(機構)可繼續使用至有效期完結,屆時亦可選擇申請績期。

M-3 電子證書(個人)"互認版"/ 電子證書(機構)"互認版"可提供的儲存媒體是什麼?

電子證書(個人)"互認版"及電子證書(機構)"互認版"只可儲存在電子證書Token (SafeNet)或電子證書Token (FEITIAN),而每份電子證書必須獨立存放於電子證書Token。

M-4 可以選擇將電子證書(個人)"互認版"/ 電子證書(機構)"互認版"儲存在電子證書檔案USB嗎?

不能。

M-5 如果忘記了我的電子證書(個人)/ 電子證書(機構)"互認版"的密碼,我應該怎樣辦?

你可經香港郵政核證機關網頁要求撤銷你的電子證書,然後重新申請新的電子證書。你須要繳交表格上定明的年費。

M-6 電子證書(個人)"互認版"/ 電子證書(機構)"互認版"在續期時可否轉用另一種電子證書Token?

可以。你可以在續期時用相對應的續期表格以轉用另一種電子證書Token。電子證書(個人)"互認版"請下載相關續期表格(電子證書Token (SafeNet)續期表格 (CPos 798AMR-S) 或電子證書Token (FEITIAN)續期表格 (CPos 798AMR-F))。電子證書(機構)"互認版" 請下載相關續期表格(電子證書Token (SafeNet)續期表格 (CPos 798FMR-S) 或電子證書Token (FEITIAN)續期表格 (CPos 798FMR-F))。

M-7 我可否將一份電子證書(個人)"互認版"/ 電子證書(機構)"互認版"同時存放於電子證書Token (SafeNet)及電子證書Token (FEITIAN)?

不可以。你需要申請兩份電子證書(個人)"互認版"/ 電子證書(機構)"互認版"。


N. 電子證書(機構)"具自動交換資料功能"

N-1 我已擁有電子證書(機構),現在想轉用電子證書(機構)"具自動交換資料功能",應如何申請?

如現時的電子證書(機構)登記人欲在證書上增加具自動交換資料功能 ,須在證書續期時填妥電子證書(機構)"具自動交換資料功能"附加申請表格及電子證書(機構)續期表格,並附上有關的文件,到郵政局辦理手續及繳交費用即可完成申請。

N-2 我擁有的電子證書(機構)仍然現行有效,但未增加"具自動交換資料功能",我能否使用該電子證書登入我在稅務局「自動交換財務帳戶資料網站」/ 「國別報告網站」的帳戶?

你需要申請電子證書(機構)"具自動交換資料功能"來登入稅務局「自動交換財務帳戶資料網站」/ 「國別報告網站」的帳戶。

N-3 如果我的機構沒有商業登記證,能否申請電子證書(機構)"具自動交換資料功能"?

如申報財務機構沒有商業登記證,但需要申請電子證書(機構)"具自動交換資料功能"來登入稅務局「自動交換財務帳戶資料網站」/「國別報告網站」的帳戶,該機構須提交由稅務局發出的證明文件副本來代替商業登記證以申請電子證書(機構)"具自動交換資料功能"。


O. 電子證書(伺服器)

O-1 在申請電子證書(伺服器)時,應申請那一項電子證書(伺服器)?

申請人可因應個別的需要,選擇所需的電子證書(伺服器),以下例子可供參考:

  1. 電子證書(伺服器)"通用版":申請人擁有多個同一域名的伺服器名稱。 例如發出予 *.eCert.gov.hk 的電子證書(伺服器)"通用版",可用於以下所有伺服器名稱:
    • www.eCert.gov.hk
    • eCert.gov.hk
    • mail.eCert.gov.hk
    • www1.eCert.gov.hk
  2. 電子證書(伺服器)"多域版":申請人擁有多個不同域名的伺服器名稱。 例如一份電子證書(伺服器)"多域版"可識別以下不同域名的伺服器名稱:
    • www.eCert.gov.hk
    • eCert.gov.hk
    • www.e-Cert.gov.hk
    • www.eCert.hk
  3. 電子證書(伺服器)〔不屬於"通用版"和"多域版"〕:只能識別一個伺服器名稱。適合只有一個或少量伺服器。例如:
    • www.eCert.gov.hk

O-2 安裝SHA-256電子證書(伺服器)有何最低要求?

在常用的平台及應用上安裝SHA-256電子證書(伺服器)的最低配置要求如下:
系統平台/應用 最低配置
Windows Server 2003 SP2 + KB 938397
Apache Server 依據OpenSSL 的版本.(0.9.8o或以上)
Microsoft Exchange Server 依據Windows Server 的版本
IBM Domino Server 9.x 連同修復包
IBM HTTP Server 8.5 (附帶Domino 9)
Oracle Weblogic 10.3.1或以上版本

O-3 在申請各類電子證書(伺服器)時,伺服器名稱有何限制?

  1. 電子證書(伺服器)〔不屬於"通用版"和"多域版"〕:只可登記一個伺服器名稱,並且不可有通配符("*")。
  2. 電子證書(伺服器)"通用版":只可登記一個伺服器名稱,及伺服器名稱的最左邊部份指定為通配符("*")。
  3. 電子證書(伺服器)"多域版":可登記多至50個伺服器名稱,及伺服器名稱不可有通配符("*")。

注意:所有登記的伺服器名稱,必須為申請人機構所擁有。

O-4 電子證書(伺服器)"通用版"及"多域版",有何好處?

電子證書(伺服器)"通用版"及"多域版",有以下的好處:

  • 電子證書(伺服器)"通用版"可用於登記人機構所擁有的同一域名或子域名的所有伺服器名稱。
  • 電子證書(伺服器)"多域版"可用於多至50個由登記人機構所擁有的伺服器名稱,伺服器名稱更可屬於登記人機構所擁有的不同域名。
  • 證書附有"數碼簽署"密碼匙使用方法,可用於伺服器驗證及與伺服器建立安全通訊通道。

因此,若申請人擁有多個同一域名或多個不同域名的伺服器名稱,電子證書(伺服器)"通用版"或"多域版"可更有效管理及更方便使用。

O-5 如何上載電子證書(伺服器)"通用版"及"多域版"之「證書簽署要求」(Certificate Signing Request, "CSR")?其步驟與電子證書(伺服器)之「證書簽署要求」步驟是否不同?

電子證書(伺服器)"通用版"及"多域版"之「證書簽署要求」步驟和電子證書(伺服器)之「證書簽署要求」步驟相同,你只須要為每份所申請的證書上載一次「證書簽署要求」,不論你為電子證書(伺服器)"通用版"申請多少個"附加伺服器"或者為電子證書(伺服器)"多域版"申請多少個"額外伺服器名稱",及你只需要在「證書簽署要求」輸入用作電子證書主體名稱的伺服器名稱,而不需要輸入任何"額外伺服器名稱",在簽發證書時系統會自動加入所申請的"額外伺服器名稱"。有關「證書簽署要求」的詳情,請參閱電子證書(伺服器)用戶指南

O-6 電子證書(伺服器)"通用版"和"多域版"可用於多個伺服器上,那麼會簽發多少份證書給申請人?

所申請的每一份電子證書(伺服器)"通用版"或"多域版",均只會有一份電子證書簽發給申請人,申請人可自行複製證書,用於所申請的相關伺服器上。

O-7 可否申請一份電子證書(伺服器)同時具備"通用版"及"多域版"之特點?

不可以。一份電子證書(伺服器)只可具備"通用版"或"多域版"之其中一個特點。如申請人需要"通用版"及"多域版"之特點,可為相關伺服器申請兩份電子證書(伺服器):一份"通用版"及一份"多域版"。

O-8 在"搜尋及下載電子證書(伺服器)"的應用程式中,應使用哪一個伺服器名稱來搜尋電子證書(伺服器)"通用版"或"多域版"的證書?

在搜尋電子證書(伺服器)"通用版"的證書時,你可以搜尋帶有或不帶有通配符("*")部份的伺服器名稱。例如:若想搜尋發出予 *.eCert.gov.hk 的電子證書(伺服器)"通用版",你可以搜尋 *.eCert.gov.hk 或 eCert.gov.hk 來搜尋及下載相關的電子證書(伺服器)"通用版"之證書。在搜尋電子證書(伺服器)"多域版"的證書時,你可以搜尋證書內所載的任何一個伺服器名稱,包括用作電子證書主體名稱的伺服器名稱或證書主體別名內的任何一個額外伺服器名稱,以搜尋及下載相關的電子證書(伺服器)"多域版"之證書。

O-9 可否用IP地址(互聯網規約地址)代替伺服器名稱以申請電子證書(伺服器)?

所有電子證書(伺服器)均不接受IP地址作為伺服器名稱。

O-10 如何計算電子證書(伺服器)"通用版"之"附加伺服器數量"?

每份電子證書(伺服器)"通用版"的登記費己包含證書在一台伺服器(預設伺服器)上使用之登記費。如證書需安裝在其他運作於預設伺服器操作系統以外之實體伺服器或虛擬伺服器上使用,則每個這樣的實體伺服器或虛擬伺服器便需要繳付相關登記費。

例子一:

電子證書(伺服器)"通用版"安裝在一台主要伺服器及一台備用伺服器上:總共安裝電子證書(伺服器)"通用版"之伺服器為兩台,而"附加伺服器"為一台。

例子二:

電子證書(伺服器)"通用版"安裝在一台實體伺服器及兩台虛擬伺服器上,而每台伺服器皆運作其個別的操作系統:總共安裝電子證書(伺服器)"通用版"之伺服器為三台,而"附加伺服器"為兩台。

O-11 在申請電子證書(伺服器)"通用版"時,已登記附加伺服器數量,若在證書發出後,附加伺服器數量有所改變,應怎麼辦?

若附加伺服器數量有所增加,而證書仍在有效期內,申請人可以填寫申請表以增加附加伺服器數量,並只需繳付新增加的附加伺服器數量的相關費用。無論證書於何時在新增加的附加伺服器上使用,每台新增加的附加伺服器所需繳付的登記費必須覆蓋其電子證書整個有效期。而在證書續期時,便要填寫附加伺服器所需的總數量,並繳付電子證書續期費用,及附加伺服器總數的相關登記費。

若附加伺服器數量有所減少,登記人只可在證書續期時,更改所需的附加伺服器數量,並繳付電子證書續期費用,及附加伺服器總數的相關登記費。

已繳付的登記費用,並不會因登記人已減少附加伺服器數量,而有所退款。

O-12 申請電子證書(伺服器)"通用版"時,伺服器名稱可否帶有多於一個通配符("*")?

不可以。一份電子證書(伺服器)"通用版"只可接受在伺服器名稱的完整格式網域名稱的最左邊部份帶有一個通配符("*")。

O-13 電子證書(伺服器)"多域版"證書簽發後,可否增加/減少/更改其伺服器名稱?

不可以。電子證書(伺服器)"多域版"一經簽發,證書內所有伺服器名稱均不可更改。登記人可考慮申請另外一份的電子證書(伺服器),以應新的需要。

O-14 可否只撤銷電子證書(伺服器)"多域版"的其中部份而非全部伺服器名稱?

電子證書(伺服器)"多域版"不接受只撤銷其中部份而非全部伺服器名稱。電子證書(伺服器)"多域版"一旦被撤銷,證書內之所有伺服器名稱都會被撤銷及失效。

O-15 甚麼是核證機關授權記錄?

按照RFC6844文件所規定,核證機關授權記錄使得域名擁有者可以指定一個或多個認可的核證機關為該域名發出數碼證書。

O-16 香港郵政如何在發出證書前檢查核證機關授權記錄?

香港郵政會對列於證書上的域名進行核證機關授權記錄的檢查。若核證機關授權記錄存在,但記錄並未將香港郵政之域名 "eCert.gov.hk" 或 "hongkongpost.gov.hk" 列入為獲授權證書發出人的域名,則其證書申請將不會被繼續處理。若列於證書上的域名並沒有核證機關授權記錄,且網域認可檢查沒有出現警告或錯誤信息,則香港郵政認為申請人同意讓香港郵政為其域名發出數碼證書。

O-17 如何設定核證機關授權記錄來指定香港郵政為我的域名發出數碼證書?

你需要檢查你的域名系統是否已設定核證機關授權記錄,如沒有設定核證機關授權記錄,且網域認可檢查沒有出現警告或錯誤信息,則任何核證機關包括香港郵政可以為你的域名發出數碼證書。若你的域名系統已設定核證機關授權記錄,則你需要檢查並加入下列的核證機關授權記錄以指定香港郵政為你的域名發出數碼證書(以example.com為例):

example.com.  CAA 0  issue  "eCert.gov.hk"
example.com.  CAA 0  issue  "hongkongpost.gov.hk"

O-18 我可否為中文網域名稱申請電子證書(伺服器)?

可以。由2019年7月1日起 ,由根源證書CA3簽發的電子證書(伺服器)支援以 ISO/IEC 10646字元編碼的中文網域名稱。

O-19 我可否申請一份顯示中文機構名稱的電子證書(伺服器)?

可以。由2019年7月1日起,在提交「證書簽署要求」(CSR) 時,登記人可選擇顯示中文機構及分行名稱之電子證書(伺服器)。唯證書一經發出,該項資料即不可更改。

有關「證書簽署要求」的詳情,請參閱電子證書(伺服器)用戶指南

O-20 甚麼是交叉證書"Hongkong Post Root CA 3"?我是否需要安裝此證書?

香港郵政核證機關於2022年12月提供了一張由"GlobalSign Root CA – R3"根源證書簽發,有效期至2029年3月,名為"Hongkong Post Root CA 3"("交叉證書 2022")的新交叉證書,籍此建立從香港郵政根源證書CA3到"GlobalSign Root CA - R3"根源證書的信任關係。電子證書(伺服器)的登記人,須採取以下行動,使"未有預載根源證書CA3的舊版本移動/桌面裝置"("舊裝置")能繼續進入他們已安裝電子證書(伺服器)的網站/伺服器。

  1. 如你是電子證書(伺服器)的登記人,請在你的應用程式(例如網頁伺服器)安裝由根源證書CA3發出的中繼證書"Hongkong Post e-Cert SSL CA 3 - 17"。如你是延伸認證電子證書(伺服器)的登記人,則請在你的應用程式中安裝中繼證書"Hongkong Post e-Cert EV SSL CA 3 - 17"。
  2. 在你的應用程式(例如網頁伺服器)安裝由"GlobalSign Root CA - R3"根源證書簽發的交叉證書"Hongkong Post Root CA 3"。

有關安裝中繼證書的詳細說明,請參閱https://www.ecert.gov.hk/product/ecert/guide/server_c.html

有關交叉證書的詳細說明,請參閱https://www.ecert.gov.hk/product/download/root/index_c.html

O-21 如果我已經安裝了於2019年發布,由Hongkong Post Root CA 1根源證書簽發有效期到2023年5月15日的"Hongkong Post Root CA 1"交叉證書("交叉證書 2019"),是否需要將其替換為"交叉證書 2022"?電子證書(伺服器)是否需要同時替換?

你需要以"交叉證書 2022"替換你網站/伺服器中的"交叉證書 2019",有關更換原因請參閱O-20。

以下資料及檔案可於香港郵政核證機關網站下載。

  1. 交叉證書 2022;
  2. 2022年12月發佈的用戶指南,提供相關安裝資訊;及
  3. 電子證書(伺服器)核證作業準則提供更新了的"交叉證書 2022"相關資訊。

除非你是延伸認證電子證書(伺服器)的登記人,否則你無需更換你的電子證書(伺服器)。延伸認證電子證書(伺服器)的登記人則須申請新的延伸認證電子證書(伺服器),使在O-20中所述的舊裝置在香港郵政根源證書CA1到期後仍能保留延伸認證處理。

O-22 O-20中提到的"交叉證書 2022"支援哪些版本的網頁瀏覽器和作業系統?"交叉證書 2022"和"Hongkong Post Root CA3"根源證書在支援範圍上有什麼分別?

在O-20中提到有效期至2029年3月,由"GlobalSign Root CA - R3"根源證書簽發的"交叉證書 2022"已獲舊裝置的信任,根據兼容性資料的概述,總結如下:

  • 適用於Android 3或更高版本的Google Chrome和其他支援的網頁瀏覽器
  • 適用於Windows XP或更高版本的Microsoft Internet Explorer / Edge和其他支援的網頁瀏覽器
  • 適用於iOS 4或更高版本、MacOS X 10.6.4或更高版本的Apple Safari和其他支援的網頁瀏覽器
  • 適用於所有支援平台的Mozilla Firefox版本3.6.12或更高版本

"Hongkong Post Root CA3"根源證書是獲主要網頁瀏覽器信任的根源證書,有效期至2042年6月3日,總結如下:

  • 適用於Android 11或更高版本的Google Chrome和其他支援的網頁瀏覽器
  • 適用於Windows 10或更高版本的Microsoft Internet Explorer / Edge和其他支援的網頁瀏覽器
  • 適用於iOS 15或更高版本、iPadOS 15或更高版本、MacOS 12或更高版本的Apple Safari和其他支援的網頁瀏覽器
  • 適用於所有支援平台的Mozilla Firefox版本68或更高版本

O-23 甚麼是私人密碼匙資料外洩?

如果私人密碼匙資料已洩露予未經授權人士,或是其資料已遭受未經授權人士存取,那麼可以說私人密碼匙資料被外洩。

O-24 如果我懷疑自己的電子證書(伺服器)私人密碼匙資料已外洩,我應怎樣做?

我們建議您向香港郵政要求撤銷你的證書。

O-25 如果我有與某電子證書(伺服器)私人密碼匙資料已外洩的證據,我可怎樣做?

您應透過密碼匙外洩報告網頁向香港郵政遞交報告,我們會核實報告內容並於24 小時內按準則中程序撤銷此電子證書(伺服器)。

O-26 什麼是延伸認證電子證書(伺服器)?延伸認證電子證書(伺服器)與現有的電子證書(伺服器)的認證程序有何不同?

在發出延伸認證電子證書(伺服器)之前,香港郵政會根據核證機關/瀏覽器論壇 (CA/Browser Forum)發佈有關發行和管理延伸認證證書的準則("延伸認證SSL證書準則"),核實申請人機構身分的合法存在、實體存在和營運存在。

O-27 延伸認證電子證書(伺服器)與現有的電子證書(伺服器)相比,有什麼優點?

當瀏覽安裝了延伸認證電子證書(伺服器)的網站時,一般瀏覽器會在網址列上顯示掛鎖圖示。當點擊掛鎖圖示時,會顯示登記人機構的名稱以供核證。


P. 銀行證書(個人/機構/銀行)

P-1 甚麼是核證登記銀行?

核證登記銀行是指依據香港法律第155章之銀行條例持有有效牌照的銀行,並已經在香港郵政核證機關登記成為銀行證書(銀行)的登記人。 核證登記銀行是銀行證書(個人)或銀行證書(機構)申請人和登記人的代理人。

P-2 如何申請銀行證書(銀行)?

任何欲登記該服務之香港的持牌銀行需與香港郵政核證機關作出預先安排,香港郵政核證機關才可以為已登記之 持牌銀行發出銀行證書(銀行)。有意申請銀行證書(銀行)的香港持牌銀行,可致電香港郵政核證機關熱線2921 6633或 電郵至enquiry@eCert.gov.hk了解更多詳情。

P-3 如何申請銀行證書(個人) /銀行證書(機構)?

有興趣的申請人可直接向有關核證登記銀行查詢詳情。

P-4 2015年12月發出的新版銀行證書(個人)/銀行證書(機構)與2010年3月前發出的銀行證書(個人)/銀行證書(機構)有何不同?

銀行證書(個人)及銀行證書(機構)只能用於列載於銀行證書《核證作業準則》附錄 E 中該核證登記銀行名稱相對應的指明的交易。

由2010年3月31日開始,香港郵政核證機關已終止所有舊版銀行證書之核證登記機關運作,並停止發出舊版銀行證書。

P-5 香港郵政銀行證書密碼匙長度是多少?

香港郵政核證機關會簽發RSA密碼匙長度為2048位元的銀行證書(個人)/銀行證書(機構)/銀行證書(銀行)。

P-6 本人可申請多少份香港郵政銀行證書(個人)/銀行證書(機構)?

香港郵政沒有限制個人或機構申請銀行證書的數量,或個人或機構透過核證登記銀行申請銀行證書的數量。然而,有關核證登記銀行本身或有限制在其申請銀行證書的數量。

P-7 香港郵政銀行證書的有效期為多長?

銀行證書(個人)/銀行證書(機構)/銀行證書(銀行)之有效期由1至5年不等。

P-8 我能否更改證書上的資料?

銀行證書一經產生即不可更改。如果您更改了證書上的任何資料(如姓名或電子郵件地址),必須申請新的證書,同時亦應撤銷現行證書。詳情請向核證登記銀行查詢。

P-9 香港郵政核證機關支援什麼雜湊算法?

香港郵政核證機關所簽發的銀行證書(個人)/銀行證書(機構)/銀行證書(銀行)將預設為SHA-256。

P-10 銀行證書與其他電子證書在功能上有何不同?

香港郵政核證機關透過核證登記銀行簽發之銀行證書(個人)/銀行證書(機構)只是給登記人用於列載於銀行證書《核證作業準則》附錄 E 中該核證登記銀行名稱相對應的指明的交易。

P-11 如何撤銷香港郵政銀行證書?

銀行證書(個人)/銀行證書(機構)撤銷要求

可透過傳真、郵寄信件、電子郵件或親身前往核證登記銀行的方式提出撤銷證書要求以及隨後的最後確認,方式取決於所聯繫之核證登記銀行能接納的方式而定。核證登記銀行會將撤銷證書要求轉遞給香港郵政。

銀行證書(銀行)撤銷要求

關於撤銷銀行證書(銀行)的申請,銀行證書(銀行)之核證登記銀行的獲授權代表須提前至少一個月透過傳真、郵寄信件、電子郵件或親身向香港郵政核證機關提出撤銷證書之要求以及隨後的最終確認。

Q. 香港郵政根源證書 (Root CA 1) 更替

Q-1 為什需要更替根源證書 "Hongkong Post Root CA 1"?

根源證書 "Hongkong Post Root CA 1" 有效期為二十年(2003年5月15日- 2023年5月15日),他的私人密碼匙用作簽發中繼證書,此等中繼證書用於簽發香港郵政電子證書。由於香港郵政電子證書的最長有效期為4年,為可持續簽發長達4年有效期的電子證書,香港郵政核證機關需要在現有根源證書到期前更替新的根源證書。新的根源證書必須在現行證書有效期屆滿4年前開始運作,以能使其中繼證書繼續簽發長達4年的證書。

Q-2 根源證書更替後的證書簽發及撤銷的安排會是怎樣?

現有的根源證書Root CA1及其中繼證書會分別停止簽發新中繼證書及新電子證書,新根源證書Root CA2及Root CA3會用作簽發新的中繼證書及新的電子證書。而現時根源證書擁有之中繼證書,將會繼續撤銷其所簽發的證書及產生其各自的證書撤銷清單(CRL),直到其有效期屆滿為止。

Q-3 根源證書的替換對電子證書登記人有什麼影響?

即使根源證書更替後,登記人仍可繼續持有及使用根源證書更替前所簽發的認可證書,直至其使用期屆滿。

根源證書更替後,登記人可能需要安裝新中繼證書SubCA SSL CA3-17以認可其電子證書(伺服器)。登記人亦可能需要在其應用程式(例如瀏覽器或伺服器) 安裝新根源證書Root CA2,中繼證書SubCA 2-15 或 SubCA 2-17以認可其他種類的電子證書。安裝那張中繼證書去識別新的證書鏈,需視乎登記人證書的種類。

Q-4 申請及撤銷電子證書的程序會否因根源證書更替而有所改變?

電子證書的申請及撤銷程序在根源證書更替後將維持不變。

Q-5 我們的應用系統支援香港郵政電子證書,我們可否在根源證書更替前,要求測試證書及證書撤銷清單作系統測試?

應用系統供應商可致電香港郵政核政機關客戶服務電話 2921 6633或電郵至enquiry@eCert.gov.hk查詢要求提供測試用的證書,證書撤銷清單及儲存庫查閱服務的事宜。

Q-6 在完成根源證書更替後,現有根源證書是否會繼續更新及發佈授權撤銷清單(ARL)?

在完成根源證書更替後,現有的根源證書會繼續更新及發佈授權撤銷清單(ARL),直至2023年5月15日其有效期屆滿為止。

Q-7 根據更替根源證書"Hongkong Post Root CA 1"的實施計劃,由2019年2月1日至2019年3月31日期間, 除了政府政策局/部門的電子證書(機構)會由根源證書Root CA1簽發外,相關指定政府電子服務的電子證書登記人,其電子證書(個人) 及電子證書(機構)亦會由根源證書Root CA1簽發。香港郵政核證機關備存指定政府電子服務清單,各政策局/部門如需要將其電子服務包括在清單內須與香港郵政核證機關商討。香港郵政核證機關備存的清單有那些指定的政府電子服務?

香港郵政核證機關備存的指定政府電子服務清單,包括 (1)政府電子貿易服務 (包括:進出口報關單,貨物艙單,應課稅品許可證及產地來源) ; (2)戰略物品許可證電子服務。