电子证书常见问题解答
目录
- 香港邮政核证机关
- 公开密码匙基础建设(PKI)
- 香港邮政电子核证服务
- 电子证书(伺服器)提交证书签署要求(CSR)
- 电子核证代制密码匙服务常见答问
- 技术问题
- 撤销证书
- 删除和恢复问题
- 备存和转移证书
- 电子证书(个人)续期
- 电子证书档案USB
- 电子证书Token
- 电子证书(个人)"互认版"及电子证书(机构)"互认版"
- 电子证书(机构)"具自动交换资料功能"
- 电子证书(伺服器)
- 银行证书(个人/机构/银行)
- 香港邮政根源证书 (Root CA 1) 更替
- 为何应选择香港邮政核证机关作为自己的核证机关?
- 香港是否有规定数码签署的法律?
- 电子核证证书的"倚据限额"的涵义是甚麽?
- 旧有核证机关系统终止运作
- 香港邮政核证机关于2010年2月26日更替中继证书
- 于2010年2月26日的中继证书更替会为电子证书登记人带来什么影响?
- 香港邮政核证机关于2015年1月1日新增中继证书"Hongkong Post e-Cert CA 1 - 14"
- 于2015年1月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 14"会为电子证书(伺服器)登记人在配置时带来什么影响?
- 中继证书"Hongkong Post e-Cert CA 1"的有效期届满
- 香港邮政核证机关于2015年9月1日新增中继证书"Hongkong Post e-Cert CA 1 - 15"
- 于2015年9月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 15"会为电子证书(伺服器)登记人在配置时带来什么影响?
- 根源证书"Hongkong Post Root CA 1"的有效期届满
- 甚麽是加密?
- 甚麽是公开密码匙加密术及其原理?
- 甚麽是核证机关(CA)?
- 甚麽是数码证书?
- 甚麽是香港邮政电子核证证书?
- 甚麽是数码签署及其原理?
- 甚麽是杂凑函数/值?
- 甚麽是S/MIME?
- 为甚麽我的电子邮件上有一个S/MIME .p7s或 / 和S/MIME .p7m附件?
- 甚麽是安全接层(SSL)?
- 如何发送经签署及加密的电子邮件?
- 怎样才能获得其他人的数码证书(内含公开密码匙),以向其发送加密电子邮件?
- 如何读取收到的加密电子邮件?
- 如何核实所收到的签署讯息上的数码签署?
- 我怎样才能知道收到的电子邮件是否被签署或加密?
- 是否可以向没有数码证书的人发送安全电子邮件?
- 香港邮政电子核证支援汉字吗?
- 香港邮政电子核证支援Elliptic Curve Cryptosystem (ECC)吗?
- 香港邮政电子核证支援object signing和Authenticode吗?
- 香港邮政电子证书密码匙长度是多少?
- 香港邮政电子核证证书全球通用吗?
- 进入香港邮政核证机关网站有哪些系统需求?
- 我是否可以在Hotmail或其他电子邮件服务上使用电子核证?
- 我的香港邮政电子核证证书届满后怎么办?
- 本人可申请多少份香港邮政电子核证证书?
- 一份香港邮政电子核证证书的费用是多少?
- 香港邮政电子核证证书的有效期为多长?
- 我能否更改证书上的资料?
- 香港邮政核证机关支援什么杂凑算法?
- 香港邮政核证机关签发的电子证书(伺服器)支援线上证书状态通讯规约 (OCSP) 吗?
- 为何浏览器首先须接受香港邮政根源核证机关的证书?
- 我应在何处下载香港邮政根源核证机关证书的公开密码匙?如何将其安装于浏览器中?
- 如何重新获得已丢失或被意外删除的电子核证?
- 为何设置香港邮政电子核证证书备存文档十分重要?
- 我是否可以将一个香港邮政电子核证证书用于多个电子邮件地址?
- 香港邮政电子核证证书的认证程序是甚么?
- 为何香港邮政向未成年人发出数码证书?
- 可否从香港邮政伺服器目录中查阅保密证书?
- 有关香港邮政电子核证证书使用条件的资料可以在哪里查阅得到?
- 如收件人以同一电邮地址登记不止一张数码证书,如何以Netscape浏览器搜寻指定的一张?
- 为甚么电子证书申请人必须亲往邮政局办理身分认证手续?
- 可否在午饭时段﹑周末或周日到邮政局办理身分认证手续?
- 如在安装电子证书过程中遇到任何问题的话,可如何求助?
- 香港邮政将电子证书储存媒体邮寄给申请人的安排是否恰当?
- 电子证书可否在运行Linux和Mac操作系统的电脑上使用?
- 电子证书(机构职务)和电子证书(机构)有什么分别?
- 本机构适合使用电子证书(机构职务)还是电子证书(机构)?
- 电子证书(机构职务)和电子证书(机构)在申请程序上有什么分别?
- 为什么登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)?
- 电子证书上的「登记人机构名称」和「登记人机构分行/部门名称」的栏位长度最长是多少?
- 我们是香港数码港推行的「智方便」沙盒先导计划("计划")的参与者。我可否申请试用版电子证书(保密)用于该计划进行测试?
- 甚么是证书签署要求(CSR)?
- 如何发出证书签署要求(CSR)?
- 在电子证书(伺服器)提交证书签署要求(CSR)过程中,我应该将甚么贴上Certificate Signing Request (CSR)的文字方格?
- 如果我没有在提交证书签署要求(CSR)过程的最后步骤下载我的电子证书(伺服器),我应该怎样办?
- 如何为具中文网域名称电子证书(伺服器)发出「证书签署要求」 (CSR)?
- 何谓代制密码匙服务?如何运作?
- 是否各种证书都可使用这项服务?
- 有没有设定防护措施保护由代制密码匙服务产生的证书档案?
- 有没有应用工具或程式可以更改电子证书档案的密码?
- 使用「更改电子证书档案密码程式」软件有没有甚麽限制?
- 怎样才能知道自己的香港邮政电子核证证书是否已安装好?
- 个人辨识密码好象不起作用时怎麽办?
- 为何在下载证书後不久即收到"证书已届满"讯息?
- 本人已删除自己的Netscape Navigator,并已安装最新版本。我怎样重新安装自己的数码证书?
- 如何判断自己是否连接到一个安全伺服器上?
- 怎样才能获得128位元∕全强度对话方块?
- 我在自己的伺服器证书申请上应使用甚麽网域名称?
- 保密证书内哪个字段控制一对密码匙的用途?
- 电子证书(保密)证书的用途为何?
- 在Crypto Tools 软件内使用电子证书
- 为什么电子证书(个人)用户在证书三年有效期届满时没有收到电邮续期通知?
- 延长登记使用期与证书续期有甚么分别?
- 用户该如何办理续期?可透过甚么途径?
- 续期的电子证书(个人)的有效年期为多少?收费如何?
- 我可否一次过缴付三年登记使用期的费用?
- 电子证书(个人)用户续期时会否获得新密码信封?
- 电子证书获续期後,收到了新的密码信封及电子证书储存媒体,是否可以弃掉旧有电子证书的密码及电子证书储存媒体?
- 用户可循哪些途径查询有关电子证书事宜?
- 什么是电子证书档案USB?
- 电子证书档案USB的主要好处是什么?
- 我需要支付电子证书档案USB的费用吗?
- 软磁碟在何时不再是电子證书储存媒体的其中一个选择?
- 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书档案USB内的电子证书?
- 我申请电子证书时没有选择电子证书档案USB。在收到我的电子证书后,我可以选购电子证书档案USB吗?
- 什么是电子证书Token?
- 那一种类的香港邮政电子证书采用电子证书Token作为储存媒体?
- 电子证书Token和电子证书档案USB有什么不同之处?
- 电子证书Token (SafeNet)和电子证书Token (FEITIAN)有什么不同之处?我应该如何选择?
- 怎样读取储存在电子证书Token内的电子证书(个人)"互认版"电子证书?
- 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书Token内的电子证书?
- 我可否更改存于电子证书Token的密码?
- 若我的电子证书Token已损坏,不能读取电子证书资料,我应怎样做?
- 如果遗失了电子证书Token,我应该怎样办?
M. 电子证书(个人)"互认版"及电子证书(机构)"互认版"
- 电子证书(个人)"互认版"和 电子证书(机构)"互认版",有何好处?
- 我已拥有电子证书(个人)/电子证书(机构),现在想转用电子证书(个人)"互认版"/ 电子证书(机构)"互认版",应如何申请?
- 电子证书(个人)"互认版"/ 电子证书(机构)"互认版"可提供的储存媒体是什么?
- 我可以选择将电子证书(个人)"互认版"/ 电子证书(机构)"互认版"储存在电子证书档案USB吗?
- 如果忘记了我的电子证书(个人)/ 电子证书(机构)"互认版"的密码,我应该怎样办?
- 电子证书(个人)"互认版"/ 电子证书(机构)"互认版"在续期时可否转用另一种电子证书Token?
- 我可否将一份电子证书(个人)"互认版"/ 电子证书(机构)"互认版"同时存放于电子证书Token (SafeNet)及电子证书Token (FEITIAN)?
- 我已拥有电子证书(机构),现在想转用电子证书(机构)"具自动交换资料功能",应如何申请?
- 我拥有的电子证书(机构)仍然现行有效,但未增加"具自动交换资料功能",我能否使用该电子证书登入我在税务局「自动交换财务帐户资料网站」/ 「国别报告网站」的账户?
- 如果我的机构没有商业登记证,能否申请电子证书(机构)"具自动交换资料功能"?
- 在申请电子证书(伺服器)时,应申请那一项电子证书(伺服器)?
- 安装SHA-256电子证书(伺服器)有何最低要求?
- 在申请各类电子证书(伺服器)时,伺服器名称有何限制?
- 电子证书(伺服器)"通用版"及"多域版",有何好处?
- 如何上载电子证书(伺服器)"通用版"及"多域版"之「证书签署要求」(Certificate Signing Request, "CSR")? 其步骤与电子证书(伺服器)之「证书签署要求」步骤是否不同?
- 电子证书(伺服器)"通用版"和"多域版"可用于多个伺服器上,那么会签发多少份证书给申请人?
- 可否申请一份电子证书(伺服器)同时具备"通用版"及"多域版"之特点?
- 在"搜寻及下载电子证书(伺服器)"的应用程式中,应使用哪一个伺服器名称来搜寻电子证书(伺服器)"通用版"或"多域版"的证书?
- 可否用IP地址(互联网规约地址)代替伺服器名称以申请电子证书(伺服器)?
- 如何计算电子证书(伺服器)"通用版"之"附加伺服器数量"?
- 在申请电子证书(伺服器)"通用版"时,已登记附加伺服器数量,若在证书发出后,附加伺服器数量有所改变,应怎么办?
- 申请电子证书(伺服器)"通用版"时,伺服器名称可否带有多于一个通配符("*")?
- 电子证书(伺服器)"多域版"证书签发后,可否增加/减少/更改其伺服器名称?
- 可否只撤销电子证书(伺服器)"多域版"的其中部份而非全部伺服器名称?
- 甚么是核证机关授权记录?
- 香港邮政如何在发出证书前检查核证机关授权记录?
- 如何设定核证机关授权记录来指定香港邮政为我的域名发出数码证书?
- 我可否为中文网域名称申请电子证书(伺服器)?
- 我可否申请一份显示中文机构名称的电子证书(伺服器)?
- 甚么是交叉证书"Hongkong Post Root CA 3"? 我是否需要安装此证书?
- 如果我已经安装了于2019年发布,由Hongkong Post Root CA 1根源证书签发有效期到2023年5月15日的"Hongkong Post Root CA 1"交叉证书("交叉证书 2019"),是否需要将其替换为"交叉证书 2022"?电子证书(伺服器)是否需要同时替换?
- O-20中提到的"交叉证书 2022"支援哪些版本的网页浏览器和作业系统?"交叉证书 2022"和"Hongkong Post Root CA3"根源证书在支援范围上有什么分别?
- 甚么是私人密码匙资料外泄?
- 如果我怀疑自己的电子证书(伺服器)私人密码匙资料已外泄,我应怎样做?
- 如果我有与某电子证书(伺服器)私人密码匙资料已外泄的证据,我可怎样做?
- 什么是延伸认证电子证书(伺服器)?延伸认证电子证书(伺服器)与现有的电子证书(伺服器)的认证程序有何不同?
- 延伸认证电子证书(伺服器)与现有的电子证书(伺服器)相比,有什么优点?
- 甚么是核证登记银行?
- 如何申请银行证书(银行)?
- 如何申请银行证书(个人)/银行证书(机构)?
- 2015年12月发出的新版银行证书(个人)/银行证书(机构)与2010年3月前发出的银行证书(个人)/银行证书(机构)有何不同?
- 香港邮政银行证书密码匙长度是多少?
- 本人可申请多少份香港邮政银行证书(个人)/银行证书(机构)?
- 香港邮政银行证书的有效期为多长?
- 我能否更改证书上的资料?
- 香港邮政核证机关支援什么杂凑算法?
- 银行证书与其他电子证书在功能上有何不同?
- 如何撤销香港邮政银行证书?
- 为什需要更替根源证书 "Hongkong Post Root CA 1"?
- 根源证书更替后的证书签发及撤销的安排会是怎样?
- 根源证书的替换对电子证书登记人有什么影响?
- 申请及撤销电子证书的程序会否因根源证书更替而有所改变?
- 我们的应用系统支援香港邮政电子证书,我们可否在根源证书更替前,要求测试证书及证书撤销清单作系统测试?
- 在完成根源证书更替后,现有根源证书是否会继续更新及发布授权撤销清单(ARL)?
- 根据更替根源证书"Hongkong Post Root CA 1"的实施计划,由2019年2月1日至2019年3月31日期间, 除了政府政策局/部门的电子证书(机构)会由根源证书Root CA1签发外,相关指定政府电子服务的电子证书登记人,其电子证书(个人) 及电子证书(机构)亦会由根源证书Root CA1签发。香港邮政核证机关备存指定政府电子服务清单,各政策局/部门如需要将其电子服务包括在清单内须与香港邮政核证机关商讨。香港邮政核证机关备存的清单有那些指定的政府电子服务?
A. 香港邮政核证机关
香港邮政核证机关乃根据电子交易条例第553章获认可的核证机关。香港邮政电子核证证书是由香港邮政署Postmaster General根据电子交易条例及获认可核证机关作业守则的要求发出的获认可证书。
此外,香港邮政核证机关实行严格的认证程序核实登记人的身分,为安全电子商务提供了基础建设。认证程序的详情请见香港邮政核证作业准则。
有。电子交易条例第553章于2000年1月生效及于2004年7月修订。该条例可于以下网站浏览:https://www.digitalpolicy.gov.hk/sc/our_work/digital_infrastructure/legal_framework/regulation/eto/index.html。
倚据限额指获认可证书规定的可倚据货币限额。电子交易条例中的相关章节是第41和42节。
香港邮政已于2004年1月完成提升核证机关系统的作业,而新的核证机关系统(「新系统」-其根源(Root)为"Hongkong Post Root CA 1","Hongkong Post e-Cert CA 1"及"Hongkong Post e-Cert CA 1 - 10")亦已接管旧有核证机关系统(「旧系统」-其根源(Root)为"Hongkong Post Root CA"及"Hongkong Post e-Cert CA")的功能。
自2004年2月1日起,各类的认可证书已经由「新系统」发出;而「旧系统」亦已停止发出认可证书。由于「旧系统」发出的认可证书有效期为一年,所有此等证书的有效期已于2005年2月1日或之前终止,现时再无由「旧系统」所发出但仍然有效的认可证书。
「旧系统」已于2005年4月1日起终止服务,及终止以根源(Root)"Hongkong Post Root CA" 及 "Hongkong Post e-Cert CA" 发出证书撤销清单(Certificate Revocation List, CRL)。「旧系统」已于2005年3月31日发出其最后的证书撤销清单。
「旧系统」的终止运作并不影响「新系统」既有的运作(包括发出证书撤销清单)。香港邮政核证机关的各项服务亦不会受影响。由「旧系统」及「新系统」发出的认可证书及证书撤销清单,均可于公开储存库下载。
中继證书"Hongkong Post e-Cert CA 1"於2003年6月开始签发认可證书及已於2013年5月15日到期。在中继證书"Hongkong Post e-Cert CA 1"到期之前,为可持续签发长达3年有效期的认可證书,香港邮政已於2010年2月26日完成更替中继證书"Hongkong Post e-Cert CA 1"。
完成中继证书更替后,中继证书"Hongkong Post e-Cert CA 1"已停止签发认可证书;而中继證书"Hongkong Post e-Cert CA 1 - 10"已从2010年2月26日开始用作签发认可證书及撤销其所签发的證书。电子證书的申请和撤销程序不会因中继證书更替而改变。
中继證书"Hongkong Post e-Cert CA 1"的有效期已於2013年5月15日届满,其最後一次的證书撤销清单已於当日下午2时15分发出。
如需阅览更多资料,请参阅有关更替中继证书的公告。
A-6 于2010年2月26日的中继证书更替会为电子证书登记人带来什么影响?
请参阅于2010年2月26日有关更替中继证书的公告。
A-7 香港邮政核证机关于2015年1月1日新增中继证书"Hongkong Post e-Cert CA 1 - 14"
由2015年1月1日起,新增中继证书"Hongkong Post e-Cert CA 1 - 14"开始用作签发SHA-256电子证书(伺服器)及撤销其所签发的SHA-256电子证书(伺服器)。电子证书(伺服器)的登记程序和撤销程序维持不变。
A-8 于2015年1月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 14"会为电子证书(伺服器)登记人在配置时带来什么影响?
安装于2015年1月1日后发出的SHA-256电子证书(伺服器)时,登记人需在其应用程序,如网页伺服器中安装新的中继证书"Hongkong Post e-Cert CA 1 - 14"以认可其证书。
A-9 中继證书"Hongkong Post e-Cert CA 1"的有效期届满
中继證书"Hongkong Post e-Cert CA 1"曾於下列期间发出电子證书及银行證书:
- 於2003年6月23日至2010年2月25日期间发出电子證书(个人)
- 於2004年1月12日至2010年2月25日期间发出电子證书(机构)、电子證书(保密)、电子證书(伺服器)、银行證书(个人)及银行證书(机构)
中继證书"Hongkong Post e-Cert CA 1"已由2010年2月26日起停止签发认可證书及其有效期已在2013年5月15日届满。
中继證书"Hongkong Post e-Cert CA 1"在2013年5月15日下午2时15分(香港时间)发出最後一次"整体證书撤销清单"及"分割式證书撤销清单",其後不再更新。早期所签发的證书撤销清单仍可供参考。
中继證书"Hongkong Post e-Cert CA 1"的有效期届满後,除停止更新由中继證书"Hongkong Post e-Cert CA 1"发出的證书撤销清单外,其他香港邮政核證机关服务一律不受影响。
详情可参阅中继證书有效期届满之相关公告。
A-10 香港邮政核证机关于2015年9月1日新增中继证书"Hongkong Post e-Cert CA 1 - 15"
由2015年9月1日起,新增中继证书"Hongkong Post e-Cert CA 1 - 15" 开始用作签发支援线上证书状态通讯规约的电子证书(伺服器)及撤销其所签发支援线上证书状态通讯规约的电子证书(伺服器)。电子证书(伺服器)的登记程序和撤销程序维持不变。
A-11 于2015年9月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 15"会为电子证书(伺服器)登记人在配置时带来什么影响?
安装于2015年9月1日后发出的支援线上证书状态通讯规约的电子证书(伺服器)时,登记人需在其应用程序,如网页伺服器中安装新的中继证书 "Hongkong Post e-Cert CA 1 - 15"以认可其证书。
A-12 根源证书"Hongkong Post Root CA 1"的有效期届满
根源证书"Hongkong Post Root CA 1"的有效期已在2023年5月15日届满。中继证书 "Hongkong Post e-Cert CA 1 - 10" 、 "Hongkong Post e-Cert CA 1 - 14" 及 "Hongkong Post e-Cert CA 1 - 15" 已停止签发认可证书及其有效期已在2023年5月15日届满。
详情可参阅中继证书有效期届满之相关公告。
B.公开密码匙基础建设(PKI)
加密的概念十分简单:透过特定程序(算法)及密码匙,将讯息从初始(普通文本)转换为另一种不易理解的形式(密码文本)。之後,再使用同一个密码匙将该讯息解密,恢复至其初始形式。若欲解密须知晓加密密码匙。
根据当前使用的加密技巧,本系统的安全特别倚赖於加密密码匙的长度。加密算法目前可公开获得,因此密码匙的复杂程度(即其长度)及机密程度成为确保加密安全强度的要素。
公开密码匙加密术或非对称加密术构成数码签署及公开密码匙基础建设的基础。该技术利用一对数学相关但不同的密码匙私人密码匙及公开密码匙。私人密码匙被机密保存,祗有其拥有者知晓,而公开密码匙则用於广泛传播用途。
若使用某一密码匙加密讯息,祗有使用与之相配的另一个密码匙方能解密。
可以用公开密码匙核实经私人密码匙签署的讯息,或对祗能用私人密码匙解密的讯息进行加密。
核证机关(CA)指发出供个人或机构使用之独立认证数码证书的组织。
数码证书指由核证机关发出及数码签署的电子文档,以核实证书持有人之身分。
香港邮政电子核证证书指由香港邮政核证机关(CA)发出、签署及管理并符合X.509第三版本标准之数码证书。
香港邮政核证机关提供四种不同类型的数码证书:
- 香港邮政电子证书(个人)证书:用於浏览器及电子邮件程式,令用户可向第三方证明自己的身分。
- 香港邮政电子证书(机构)证书:由机构、协会或政府部门使用,可用来向其会员∕雇员发出本机构证书,以进行安全的讯息传送;及香港邮政电子证书(伺服器)证书:用於向用户认证伺服器,由此以安全接层(SSL)讯息进行沟通。
- 香港邮政电子证书(保密)证书:只能用於作保密电子通讯的用途。这款证书不可以像个人证书及机构证书一样,在信息上作数码签署。
数码签署是一个独特的位元串,针对每条讯息独立产生,由发送者私人密码匙"签署",於该讯息发往目标接收人前附加於讯息上。透过使用发送者之公开密码匙核实签署,接收人将可确认发送者身分,并确定该讯息於发送过程未经更改。这样,数码签署提供:
认证:证明电子交易各方之身分。
完整性:确信某一讯息的内容未被干扰或更改。
不得毁约:证明协议符合交易条款及防止任何一方不履行承诺。
杂凑函数技术用於计算任何给定讯息(代表讯息内容)的固定长度简短摘要。杂凑函数令改变後的讯息不可能回复其初始状态,且从计算角度来讲很难发现任何两条讯息杂凑出同一结果。
MD5及SHA为常见杂凑算法。
S/MIME(安全∕多用互联网邮件引述)是透过互联网发送安全电子邮件的未获正式承认的事实标准。MIME是电子邮寄的行业标准格式,界定了讯息主体的架构。S/MIME使MIME标准增加了安全特徵。支援S/MIME的电子邮件应用程式使MIME格式增加了数码签署和加密功能。安全讯息格式的标准化,使用户毋须使用电子邮件软件即可进行私人和经验证的沟通,祗要他们使用的软件兼容S/MIME即可。要发送和接收安全电子邮件,您和您的接收人必须有公开密码匙证书和兼容S/MIME的电子邮件应用程式。
B-9 为甚麽我的电子邮件上有一个S/MIME .p7s或 / 和S/MIME .p7m附件?
S/MIME是安全电子邮件规约,而.p7s是数码签署文档,.p7m是加密文档。如果收到这样的附件,存在两种可能:
- 您可能正使用以互联网为基础的电子邮件帐户。建议您将电子邮件帐户更换为一个不以互联网为基础的帐户;
- 您可能正使用一个不兼容S/MIME的客户程式,因而无法核实随附的签署。建议您将电子邮件客户程式升级为最新版本(如MicrosoftOutlook 98/2000)或使用另一个兼容S/MIME的邮寄程式(如MicrosoftOutlook Express 5或Netscape Messenger 4.7或上述程式)。
SSL交接规约由NetscapeCommunications Corporation开发,用於在互联网上提供安全和私隐保障。该规约支援伺服器和客户认证。SSL规约独立於应用程式存在,使HTTP(超文本传送规约)、FTP(文档传送规约)及Telnet等规约可以排列在SSL的最上层。SSL规约能够协调加密密码匙,并在数据被高级应用程式交换前认证伺服器。SSL规约透过使用加密、认证和对话方块密码匙保持传送渠道的安全和整体性。
双方若要交换经签署及加密的电子邮件,必须:
- 双方透过兼容S/MIME的电子邮件程式进行联络,及
- 双方都有数码证书。
若达到上述条件,讯息发送人可以用其邮寄程式中的"签署"及∕或"加密"选项签署和加密讯息。
B-12 怎样才能获得其他人的数码证书(内含公开密码匙),以向其发送加密电子邮件?
发送加密电子邮件的方法:
您应要求接收人发给您一封经签署的电子邮件,并将证书储存到您的地址登记簿内;或从香港邮政的联机电子核证储存库(目录)中按姓名或电子邮件地址查找数码证书,再下载接收人的电子核证证书。
如果电子邮件讯息已妥为加密(即用与私人密码匙相对应的公开密码匙加密),所加密的讯息将透过您的兼容S/MIME电子邮件应用程式为您自动解密(在您输入密码启动私人密码匙後)并向您显示普通文本。
如果发送人已在签署讯息中包括其公开密码匙证书,讯息上的数码签署将透过您的兼容S/MIME电子邮件应用程式自动核实。在Netscape Messenger中,一个标明"经签署" 的安全图标将显示於讯息右上角。
对於Netscape Messenger用户:经安全处理的讯息的右上角有一个图标,表示该讯息已经过"签署"、"加密"或"签署及加密"。
不可以。若需将所要发送的电子邮件讯息加密,您需要取得接收人的公开密码匙。如果接收人没有数码证书,他∕她便没有公开密码匙。
但您可以向电子邮件应用程式支援S/MIME的接收人数码签署讯息。他们可以在讯息上核实您的签署。
C. 香港邮政电子核证服务
目前,香港邮政所采用的技术不支援汉字。因此,目前所有香港邮政电子核证证书祗能以英文发出。
C-2 香港邮政电子核证支援Elliptic Curve Cryptosystem (ECC)吗?
目前,香港邮政不支援EllipticCurve Cryptosystem (ECC)。
C-3 香港邮政电子核证支援object signing和Authenticode吗?
目前,香港邮政不支援object signing和Authenticode。
香港邮政电子证书的密码匙长度为RSA 2048位元。
香港邮政电子核证证书符合X.509第三版本标準(一项国际标準),因此可全球通用。
本网站采用超文本标示语言HTML4.01标準建立网页。使用者可透过任何支援此标準的浏览器浏览这些网页。然而,网页的实际展示方式会因浏览器、电脑及操作系统不同而异。建议使用者,为互联网浏览器及操作系统安装最新版本的保安修补程式,以浏览本网站。
C-7 我是否可以在Hotmail或其他电子邮件服务上使用电子核证?
不可以。以互联网为基础的电子邮件服务(如Hotmail或Yahoo)不兼容S/MIME。详情请见课题S/MIME。
如果一份香港邮政电子核证证书届满,则不可再用来加密发送电子邮件。您应重新申请新的电子核证证书。
您可随意决定。每人可申请的香港邮政电子核证证书数目未加限制。
证书类型 | 每年费用(港元) |
个人(非"互认版") | ** 推广价: 每份电子证书48港元 |
机构(非"互认版") | **
推广价: 首次申请一年有效期的电子证书47港元 首次申请二年有效期的电子证书188港元 非首次申请或续期一年有效期的电子证书141港元 非首次申请或续期二年有效期的电子证书282港元 (每次申请加收行政费) |
保密 | 每份电子证书150港元 (每次申请加收行政费) |
伺服器〔非"通用版"和"多域版"〕 | ** 推广价: 每份电子证书2,350港元 |
伺服器"通用版" | ** 推广价: 每份电子证书8,265港元 + 每台附加伺服器475港元 |
伺服器"多域版" | 每份电子证书3,000港元 + 每个额外伺服器名称2,500港元 |
延伸认证电子证书(伺服器)(非"多域版") | ** 推广价: 每份电子证书2,700港元 |
延伸认证电子证书(伺服器)"多域版" | 每份电子证书3,500港元 + 每个额外伺服器名称2,500港元 |
机构职务 | 每份电子证书150港元 (每次申请加收行政费) |
政府电子证书(个人) | ** 推广价: 每份电子证书18港元 |
** 由2023年7月1日起,几类电子证书登记费用会提供推广折扣优惠。详情请参阅有关公告。
- 香港邮政电子证书(个人)有效期为三年。
- 香港邮政电子证书(机构)有效期为一年或两年。
- 香港邮政电子证书(服务器)、电子证书(服务器)"通用版"及电子证书证书(服务器)"多域版"有效期为一年。
- 香港邮政电子证书(保密)有效期为一年、两年或三年。
数码证书一经产生即不可更改。如果您更改了证书上的任何资料(如姓名或电子邮件地址),必须申请新的证书,同时亦应撤销现行证书。
香港邮政核证机关只会签发SHA-256的电子证书。
C-14 香港邮政核证机关签发的电子证书(伺服器)支援线上证书状态通讯规约 (OCSP) 吗?
香港邮政核证机关将分阶段落实签发支援线上证书状态通讯规约的电子证书(伺服器)。由2015年9月1日至2016年8月31日,香港邮政核证机关所签发的电子证书(伺服器)将预设为支援线上证书状态通讯规约,但登记人仍可提交书面要求签发有效期为一年的不支援线上证书状态通讯规约的电子证书(伺服器)。由2016年9月1日起,香港邮政核证机关只会签发支援线上证书状态通讯规约的电子证书(伺服器)。详情请参阅香港邮政核证机关网站的公告。
由2019年7月1日起,电子证书(伺服器)证书的线上证书状态通讯规约 (OCSP) 應答會即時反映證書的撤销狀態。
香港邮政根源核证机关证书非未预先安装于标准浏览器中。即您必须自行将香港邮政根源核证机关证书装载于自己的浏览器中。有了此份根源证书,香港邮政核证机关发出的证书才会有效。
C-16 我应在何处下载香港邮政根源证书?如何将其安装于浏览器中?
香港邮政根源证书可从"下载"标题进行下载。
若丢失香港邮政电子核证证书,必须立即撤销自己的证书。万一您意外删除了自己的证书,您祗需从备存文档中调出证书即可。若没有备存文档,则须呈递一份新申请。
若丢失自己的证书,且未设置备存文档,您将无法进入自己的所有旧加密讯息(因为您已不拥有用于解密该等讯息的私人密码匙)。因此,设置证书备存文档至关重要。
C-19 我是否可以将一个香港邮政电子核证证书用于多个电子邮件地址?
目前,几乎所有普通浏览器均不能在单个证书上认可多个电子邮件地址。因此,香港邮政核证机关采用每份证书对应一个电子邮件地址的政策。
认证程序详情请参阅香港邮政核证作业准则。
这是香港邮政激发年青一代参加安全电子交易和通讯的措施。如果证书持有人在提交申请时仍未成年,证书上将显示"香港邮政电子证书(个人∕未成年)"字样。兹提醒倚据人士,未成年人不能合法订立合约,任何与未成年人进行的交易将来可能被判无效或作废。
当然可以。保密证书与其他由香港邮政签发的证书一样,会载入目录供公众查阅。
C-23 有关香港邮政电子核证证书使用条件的资料可以在哪里查阅得到?
全港邮政局的柜位均备有登记人协议及核证作业准则以供索阅,这两份文件详载电子核证证书使用条件的各项条文。香港邮政核证机关网页亦载有核证作业准则全文。
C-24 如收件人以同一电邮地址登记不止一张数码证书,如何以Netscape浏览器搜寻指定的一张?
你须透过Hongkong Post e-Cert Directory的目录,在搜寻根栏内输入多几个明确的字眼。举例来说,在搜寻根一栏输入"OU=0000920170,O=Hongkong Post e-Cert (Personal),C=HK",便可把搜寻范围局限于电子证书(个人)证书和SRN=0000920170之内。如需获取更多有关在Hongkong Post e-Cert Directory目录之下,设定较详尽搜寻根值的资料,请参阅有关用户指南。
C-25 为甚么电子证书申请人必须亲往邮政局办理身分认证手续?
电子证书是确保顾客能够安全而稳妥地进行电子交易的数码证书。香港邮政有责任在处理证书申请时,妥为确认申请人的身分。因此,要求申请人亲往邮政局办理手续是保障申请人的必要措施,以便在签发电子证书前,面对面确认申请人的身份及向申请人派发密码信封。
C-26 可否在午饭时段﹑周末或周日到邮政局办理身分认证手续?
可以。邮政局午饭时段照常开放,个别分局(中环邮政总局及尖沙咀邮政局)亦于周末下午及周日上午九时至下午二时继续办公为市民服务。各邮政局办公时间,可于香港邮政核证机关网页查阅。
C-27 如在安装电子证书过程中遇到任何问题的话,可如何求助?
可致电电子证书热线29216633。
C-28 香港邮政将电子证书储存媒体邮寄给申请人的安排是否恰当?
香港邮政非常重视电子证书的保安问题。以邮寄方式发出电子证书储存媒体可免除申请人到邮政局多走一趟。为加强保安,电子证书储存媒体是以纪录派递的方式寄出,换言之,收件人必须亲自认收。此外,电子证书须配合个人密码,而这个密码已在申请人提出申请时交给申请人。
C-29 电子证书可否在运行Linux和Mac操作系统的电脑上使用?
各版本的Windows系统都支援使用电子证书。但Linux和Mac的用家则须要安装合适的嵌入软件,以使用电子证书。关于嵌入软件的资料,可向有关的Linux和Mac系统供应商查询。
C-30 电子证书(机构职务)和电子证书(机构)有什么分别?
电子证书(机构职务)和电子证书(机构)均是供登记人机构之成员或雇员使用。而电子证书(机构职务)额外的特点,是可包含登记人机构提供的授权用户的职衔或职位资料,同时,电子证书(机构职务)只可用于其登记人机构之指定系统。有关其他要点,请参阅电子证书(机构职务)《核证作业准则》附录D。
C-31 本机构适合使用电子证书(机构职务)还是电子证书(机构)?
电子证书(机构职务)可于登记人机构之公匙基建应用中作数码签署及加密与解密电子信息。此外,电子证书(机构职务)只可用于其登记人机构之指定系统。如机构有意申请电子证书(机构职务),请致电香港邮政核证机关热线2921 6633或电邮至enquiry@eCert.gov.hk查询。
C-32 电子证书(机构职务)和电子证书(机构)在申请程序上有什么分别?
电子证书(机构职务)和电子证书(机构)在申请程序上的主要分别在于,登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务),而申请使用电子证书(机构)仅由登记人机构自行判定。
C-33 为什么登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)?
电子证书(机构职务)只可用于其登记人机构之指定应用。所以,登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)。
C-34 电子证书上的「登记人机构名称」和「登记人机构分行/部门名称」的栏位长度最长是多少?
为符合国际标准,电子证书上的「登记人机构名称」和「登记人机构分行/部门名称」长度均不能超过64个字元。如果提交的「登记人机构名称」或「登记人机构分行/部门名称」长度超过64个字元,香港邮政核证机关会联络申请人并按照以下缩写列表对超过64个字元的名称进行缩写,使其长度不超过64个字元。
缩写列表 | |
词汇 | 缩写 |
Branch | Br. |
Centre | Ctr. |
Committee | Cmte. |
Company | Co. |
Department | Dept. |
Hong Kong | HK |
Incorporated | INC. |
Limited | Ltd. |
Management | Mgmt. |
School | Sch. |
C-35 我们是香港数码港推行的「智方便」沙盒先导计划("计划")的参与者。我可否申请试用版电子证书(保密)用于该计划进行测试?
欢迎您就该测试程式的计划提出申请试用版电子证书(保密)。为了使参与者能递交电子证书的公开密码匙予该计划以参与测试,该计划的每位参与者可以申请一份试用版的电子证书(保密)。查询请致电香港邮政核证机关客户服务电话2921 6633或电邮至enquiry@eCert.gov.hk,标题请注明"「智方便」先导测试 - 电子证书(保密)试用版"。
D. 电子证书(伺服器)提交证书签署要求(CSR)
证书签署要求(CSR)是一个由您的伺服器所产生并包含你的机构资料和公开密码匙的要求。香港邮政核证机关会根据您的证书签署要求以发出您的电子证书(伺服器)。
请参阅电子证书(伺服器)用户指南以了解base64编码和附合PKCS#10格式的证书签署要求(CSR)。请确保于「Common Name」一欄输入正确的登记域名(例如:www.example.com)及「Country」一欄输入「HK」。
D-3 在电子证书(伺服器)提交证书签署要求(CSR)过程中,我应该将甚么贴上Certificate Signing Request (CSR)的文字方格?
您应该将整个证书签署要求(CSR)的内容包括 "-----BEGIN NEW CERTIFICATE REQUEST-----" 及 "-----END NEW CERTIFICATE REQUEST-----" 贴上Certificate Signing Request (CSR)的文字方格。
D-4 如果我没有在提交证书签署要求(CSR)过程的最后步骤下载我的电子证书(伺服器),我应该怎样办?
成功完成提交证书签署要求(CSR)过程后,您可以从搜寻及下载证书网页下载您的电子证书(伺服器)。
D-5 如何为具中文网域名称电子证书(伺服器)发出「证书签署要求」 (CSR)?
如使用中文网域名称,登记人需使用国际网域名称转换工具转换成ASCII 字元。
E. 电子核证代制密码匙服务常见答问
香港邮政代登记人制作配对密码匙﹝包括私人密码匙及公开密码匙﹞及产生电子证书。整个过程会在香港邮政的设施内稳妥地进行,以确保配对密码匙及证书不会被篡改。配对密码匙及证书会以密码保护并存于电子证书储存媒体上。电子证书储存媒体会以挂号形式邮寄给登记人。登记人须以另外分发的密码开启电子证书储存媒体上的证书档案。
个人、机构及保密证书均可免费使用代制密码匙服务。如有意使用这项增值服务,请在递交香港邮政电子核证证书申请表时一并提出,并指定领取证书档案的方式。
E-3 有没有设定防护措施保护由代制密码匙服务产生的证书档案?
香港邮政代登记人製作的配对密码匙均经加密,在完成送递电子证书及私人密码匙给登记人後,密码匙会从香港邮政系统中删除。
可以从香港邮政核证机关网页下载「更改电子证书档案密码程式」,即可以方便快捷的方法更改上述档案的密码。软件下载後,只需进行简易安装程序,程式便可使用。
E-5 使用「更改电子证书档案密码程式」软件有没有甚麽限制?
「更改电子证书档案密码程式」 软件为香港邮政电子证书登记人而设。用户可免费使用此软件更改存于电子证书档案USB上电子证书档案(PKCS#12格式)的密码。此软件只能在微软Windows平台操作。
F. 技术问题
F-1 怎样才能知道自己的香港邮政电子核证证书是否已安装好?
若属Netscape用户:
- 打开Netscape浏览器;
- 按一下主工具栏中的保安图标(该图标类似一个挂锁);
- 自左侧菜单中选择Certificates>Yours。核实您的新电子核证是否已列入个人证书显示区域。
- 查看电子核证详细资料,选择(电子核证),再按一下"View"按钮。
您必须正确输入个人辨识密码,确保:
- 个人辨识密码包括全部16位数字;
- 个人辨识密码前後或其间没有空格。
若仍有问题,请联络香港邮政核证机关查询热线29216633。
此种情况发生的原因可能是个人电脑的系统时间慢於我们核证机关系统的系统时间。我们的核证机关系统使用全球定位系统(GPS)时钟戳印证书时间。为避免此种情况,您可稍等片刻或修改您的系统时钟
F-4 本人已删除自己的 Netscape Navigator,并已安装最新版本。我怎样重新安装自己的数码证书?
若您已清除旧版Netscape Navigator,那麽您亦已删除包含与您的电子证书有关的私人密码匙的文档。若没有私人密码匙或备存文档,您就不可能重新安装自己的电子证书。您需要申请一份新证书。
使用Netscape安装程式升级Navigator可以保留您的个人资料(包括电子证书及私人密码匙)。
进入由香港邮政电子证书(伺服器)证书加密的伺服器,用户可以在互联网浏览器下面或Netscape浏览器主工具栏上看到一个挂锁形图标,按一下此挂锁图标,即可浏览伺服器证书的详情。
首先,人们所说的128位元或40位元连接通常指"对话方块密码匙"。这是一个对称密码匙,该密码匙在浏览器∕伺服器初次"对接"完成之後,当浏览器连接用来加密及解密数据(於伺服器之间传送)的伺服器时,由浏览器制造。
如果您的伺服器支援全强度对话方块,且连接於网站的浏览器支援128位元,即可制造及使用一个128位元对话方块密码匙。
美国出口的浏览器祗能制造40位元对话方块密码匙,但美国国内经销或美国以外公司生产的浏览器则能制造128位元对话方块密码匙,因而可连接到以类似方法生产或销售的全强度密码伺服器上。
在美国以外的国家,若干财务机构及政府机构可申请全球伺服器证书(有时称为Step-up伺服器证书)。若在伺服器上安装任何一份上述证书,即可保证用任何浏览器进行128位元连接,不论浏览器属於"出口"或"国产"类型。
请慎重选择自己的网域名称。证书一经发出,即不可更改该项资料。网域名称应与安装证书的伺服器名称完全相同,当在伺服器上连接一个浏览器时,其网域名称将与证书上的网域名称相配。若不相配,浏览器将发出认证错误资讯。
"密码匙用途" 的扩充字段规定一对密码匙的用途。香港邮政电子证书(保密)证书只设定成"保密密码匙"及 "数码签署" 位元。
此类证书只可用作:
- 传送加密之电子信息予登记人机构;
- 容许登记人机构为信息解密;及
- 容许登记人机构发出认收信息并附加其数码签署以证实其登记人机构收件身分,藉此确认已收讫送出之加密信息。
此外,此类证书产生之数码签署只可用作认收电子信息,并只可用於与联机付款或联机投资无关或不相连或不会联机为任何人士或实体带来任何性质之财务利益之交易。不论任何情况,此等证书产生之数码签署均不得用作认收与洽商或订定合约或任何具法律效力之协议有关而传送之电子信息。
已于2003年结业的i-Security Solutions Limited (iSSL)(该公司)所发行的Crypto Tools软件,已于该公司结业后停止发售及分发。如你仍使用该软件,以香港邮政电子证书作为数码签署及加密用途,你应注意:由于使用或分发该软件所引致的索偿,香港邮政概不接受、亦不承担任何责任。
G. 撤销证书
登记人可於任何时间以任何理由提出要求撤销其证书。
可使用下列方法提出撤销证书的要求:
- 透过传真27759130发出撤销证书的要求,该文件之正本需以邮寄方式交回。
- 发函至香港东九龙邮政局信箱68777号香港邮政核证机关。
- 向enquiry@eCert.gov.hk发送一份经数码签署的电子邮件。
- 亲自前往邮局签署一份撤销证书的要求(请使用原始申请表上的签署)。
- 如于网上提交电子证书(伺服器)的撤销证书要求, 需输入获授权代表的个人资料及于密码信封上的十六位密码,此密码信封于获授权代表提交申请表时亲身接收。
所有证书之暂时吊销或撤销仅在此等暂时吊销或撤销已被公布於证书撤销清单(Certificate Revocation List)後方告生效。
个人证书的要求
个人证书祗可由该证书的登记人撤销。
撤销机构证书的要求
机构证书可由下列人士撤销:
- 获指明为机构授权代表之人,且在申请时申请表上有其作为授权签署人的签署;
- 作为证书登记人在证书上列出其姓名之人。
撤销伺服器证书的要求
伺服器证书可由获指明为机构授权人士之人撤销,且在申请时申请表上有其作为授权签署人的签署。
撤销保密证书的要求
保密证书可由获指明为机构授权人士之人撤销,且在申请时申请表上有其作为授权签署人的签署。
向登记人∕授权代表发出确认书
根据传真撤销证书申请,香港邮政将在证书上设置"存留"以使暂时吊销生效,但并非撤销证书。此後,登记人须向香港邮政发出其原始撤销函,以完成撤销程序。亲自到场办理或数码签署的撤销要求会直接作为即时撤销处理,而毋须经过"存留"程序。收到撤销证书申请一周内,香港邮政将尽力向登记人发出撤销通知书。
办理撤销证书要求的营业时间
星期一至星期五 上午九时至下午五时
星期六 上午九时至中午十二时
星期日及公众假日 上午九时至中午十二时
若於任何工作日悬挂八级(或以上)热带气旋警报讯号或黑色暴雨警报讯号,且在当日早上六时或之前讯号除下,香港邮政核证机关将照常营业。若讯号在任何工作日 (星期六、日及公众假日除外)早上六时至上午十时之间或上午十时除下,香港邮政核证机关将於当日下午二时营业。
服务保证和证书撤销清单更新
- 香港邮政将作出合理努力,查看在(1) 香港邮政自登记人处收到撤销申请或 (2) 在无此申请之情况下,香港邮政决定暂停或撤销证书,两个工作日内,暂停或撤销证书及将撤销清单予以公布。
- 然而,证书撤销清单并不会于各证书撤销后随即在公众目录中公布。祗有在下一份证书撤销清单更新时一并公布,证书撤销清单介时才会显示该证书已撤销的状态。[证书撤销清单每日公布三次(公布时间为香港时间09:15、14:15 及19:00)。]
为避免疑点,所有星期六、星期天、公众假日及悬挂热带风暴及暴雨警报信号的工作日均不计工作日。
如果您怀疑自己的私人密码匙已外泄,或不愿再参加香港邮政公开密码匙基础建设,我们建议您撤销(取消)自己的证书。此外,就电子证书(伺服器)及延伸认证电子证书(伺服器)而言,你可撤销你的证书以防止证书被继续使用:
- 你不再控制或不再被授权使用拥有证书中指明的所有网域名称;
- 你因为将终止网站而不再使用证书;
- 你的证书中的机构名称或其他机构资料已经更改;或
- 你要求以新证书替换现有证书。
如欲查明已撤销的香港邮政电子核证证书的状况,可接达目录伺服器ldap1.eCert.gov.hk,查阅香港邮政核证机关证书撤销名单;名单上的资料会每日更新。由於目录伺服器的证书撤销名单只可以轻量级目录存取协定(LDAP)取读,查阅名单的人士须使用具LDAP功能的用户软件(如电子证书客户套件内的强码一号软件),方能取读资料。客户亦可前往香港邮政核证机关网页,接达一致性资源定址器URL: http://crl1.eCert.gov.hk/crl/eCertCA1-10CRL1.crl,取读证书撤销名单。客户如使用微软视窗,在开启CRL档案时,荧幕会出现证书撤销名单,顺序详列各已撤销的证书。有关的证书可按序查找。另请注意,证书撤销名单不会载列已过期证书状况的资料。
H. 删除和恢复问题
H-1 如果我的硬碟出现故障,是否有办法恢复香港邮政电子核证证书?
硬碟故障可能会删除您电脑中的证书。证书一旦丢失,就无法重新获得。在这种情况下,您首先须撤销自己的证书,然後登记一份新证书。您也可以恢复自己的备存文档并将该文档加入自己的浏览器中。
由於您的数码证书受密码保护,一般情况下任何其他人都不可能假冒您使用您的数码证书。但如果您的电脑失窃,我们建议您应立即撤销自己的证书,然後登记一份新证书。
您不应该删除已届满或已撤销的电子证书。删除证书後,您将不能再进入与证书相关的私人密码匙,因此不再可能阅读以该证书加密的讯息。
I. 备存和转移证书
每个浏览器有其自己的备存程序。对於Microsoft Edge用户:
- 按一下主工具栏中的安全图标(类似挂锁的图标),
- 从左侧目录中选择「隐私、搜索和服务」,然后点击「管理证书」,
- 选择您要储存的电子核证证书并按一下导出,
- 系统将提示您选择传送密码,每当您输入或打开该电子核证文本时都要提供该密码。按一下确认,
- 选择您储存电子核证证书的位置(如您的电子证书档案USB)及档案名称。按一下储存,
- 以安全的方式保护您的电子证书档案USB或其他媒介和您的传送密码。
转移电子核证证书的第一步是将证书从电脑硬碟储存("输出")到电子证书档案USB或其他转移媒介。您的电子证书成功输出後,您可以将其输入另一台新电脑。将电子证书输入Microsoft Edge的方法如下:
- 按一下主工具栏中的安全图标(类似挂锁的图标),
- 从左侧菜单中选择「隐私、搜索和服务」,然后点击「管理证书」
- 选择导入,
- 系统将提示您提供您用於保护电子核证证书的密码,
- 从备存电子证书的电子证书档案USB或其他媒介(应具备.p12引述)中找到您的电子证书。用滑鼠点中证书 并按一下打开,
- 输入自己的传送密码并按一下确认。
附注:在删除旧证书和过渡档案前,请确保您已将证书成功输入另一台新电脑。
J. 电子证书(个人)续期
J-1 为什么电子证书(个人)用户在证书三年有效期届满时没有收到电邮续期通知?
如果用户没有提供电邮地址或更改电邮地址时没有通知香港邮政核证机关,则香港邮政核证机关没法透过电邮通知用户。用户可致电客户服务热线29216633或发电邮至enquiry@eCert.gov.hk查询。
「延长登记使用期」---- 电子证书(个人)用户在证书三年有效期内,于证书每年登记使用期届满前,需要缴付年费HK$48,以延长登记使用期。否则,香港邮政会撤销该电子证书使其终止有效。根据电子交易条例的规定,香港邮政会将已撤销电子证书的序号载入「证书撤销清单」内,并于香港邮政核证机关网页内公布。用户于延长登记使用期后,仍可继续使用电子证书储存媒体内的电子证书。用户将不会获发新密码封套及电子证书储存媒体。
「证书续期」---- 每张电子证书(个人)的有效期为三年,用户在证书三年有效期届满前,需要办理续期申请并缴付年费HK$48。用户将获发新的密码封套及已续期的电子证书於用户所选择的电子证书储存媒体内
用户可透过网上或亲临邮局办理续期申请。但续期方法会因个别用户需要而有所分别,详情请参阅有关「电子证书续期」的网页。
续期的电子证书(个人)有效年期为三年,登记使用期为一年。登记人需在每一年缴付年费及电子证书储存媒体费用(如适用)。现行的证书续期费用及电子证书储存媒体费用已载於香港邮政网站。
不可。暂时登记使用期的费用需逐年缴交。
用户续期电子证书时会获派发新密码信封。
J-7 电子证书获续期後,收到了新的密码信封及电子证书储存媒体,是否可以弃掉旧有电子证书的密码及电子证书储存媒体?
用户需保存续期前的密码信封及电子证书储存媒体,以便使用续期前的电子证书。新的密码信封会适用于储存在已续期的电子证书储存媒体。
用户可致电客户服务热线29216633、透过电邮至 enquiry@eCert.gov.hk 或亲临任何一间邮局查询有关电子证书事宜。
K. 电子证书档案USB
电子证书档案USB是一款如信用卡大小的USB快闪记忆储存媒体,是用来储存香港邮政电子证书的储存媒体,透过电脑的USB连接埠,可容易地读取储存在内的电子证书。
电子证书档案USB的主要优点,是用户可透过电脑的USB连接埠直接读取储存在内的电子证书,而无需安装驱动程式,及无需要额外的设备。
电子证书申请人在申请电子证书时,可选择以每件港币40元的电子证书档案USB作为电子证书储存媒体。
香港邮政核證机关已由2013年4月1日起停止使用软磁碟作为电子證书储存媒体。
K-5 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书档案USB内的电子证书?
我们建议您可联络您的资讯科技支援团队,寻求他们的意见和协助。
K-6 我申请电子证书时没有选择电子证书档案USB。在收到我的电子证书后,我可以选购电子证书档案USB吗?
不能。
L. 电子证书Token
电子证书Token是一种PKCS#11加密储存媒体,是香港邮政电子证书(个人)/电子证书(机构)"互认版"的储存媒体。用户可透过电脑的USB连接埠直接读取储存在内的电子证书。
L-2 那一种类的香港邮政电子证书采用电子证书Token作为储存媒体?
电子证书(个人)"互认版"及电子证书(机构)"互认版"只可储存在电子证书Token (e-Cert Token),而每份电子证书必须独立存放于电子证书Token。
电子证书Token 每件为港币290 元。
L-3 电子证书Token和电子证书档案USB有什么不同之处?
电子证书Token是一种便携式PKCS#11加密储存媒体,所储存的电子证书不能被汇出到其他的储存媒体上。电子证书档案USB是一款如信用卡大小的USB快闪记忆储存媒体,是用来储存香港邮政电子证书的储存媒体。电子证书档案USB上的电子证书可以被汇出到其他的储存媒体上。
L-4 电子证书Token (SafeNet)和电子证书Token (FEITIAN)有什么不同之处?我应该如何选择?
香港邮政核证机关提供两款电子证书Token(即电子证书Token (SafeNet)和电子证书Token (FEITIAN))予电子证书(个人)"互认版"及电子证书(机构)"互认版"的申请人选择。
请注意,针对现时可接受使用电子证书(个人)"互认版"及/或电子证书(机构)"互认版"的网上服务,有部分目前只支援使用其中一款电子证书Token。因此,登记人请先向网上服务供应商查询,以确定所支援电子证书Token的类型。
目前只接受其中一款电子证书Token的网上服务,详情如下:
(1) 下列的网上服务只接受储存于电子证书Token (SafeNet)的电子证书:
网上服务供应商 | 服务详情 |
屋宇署 - 电子资料呈交及处理系统 https://esh.bd.gov.hk/ |
|
(2) 下列的网上服务只接受储存于电子证书Token (FEITIAN)的电子证书(个人)"互认版":
网上服务供应商 | 服务详情 |
广州市政府 - 广州市开办企业一网通平台 https://air.scjgj.gz.gov.cn/v2/ ecGovBizGuangzhouHkSign/#/login |
|
L-5 怎样读取储存在电子证书Token内的电子证书(个人)"互认版"电子证书?
用户可透过电脑的USB连接埠直接读取储存在电子证书Token内的电子证书,而无需要额外的设备。
L-6 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书Token内的电子证书?
我们建议您可联络您的资讯科技支援团队,寻求他们的意见和协助。
可以。电子证书Token (SafeNet)的用户,可以使用"SafeNet Authentication Client"软件来更改电子证书Token的密码。请参阅电子证书Token附带的程式套装。电子证书Token (FEITIAN)的用户,可以使用电子证书Token (FEITIAN)管理工具软件来更改电子证书Token的密码。
另可参阅相关用户指南(SafeNet)或(FEITAIN)以获得更多信息。
同时,请你小心保管你的电子证书Token的密码,香港邮政核证机关将不会保留你的电子证书Token的密码。密码一旦丢失或忘记,基于保安理由,我们建议你撤销你的电子证书,然后重新申请新的电子证书。。你须要缴交表格上定明的年费。
L-8 若我的电子证书Token已损坏,不能读取电子证书资料,我应怎样做?
你可经香港邮政核证机关网页要求撤销你的电子证书,然后重新申请新的电子证书。你须要缴交表格上定明的年费。
基于保安理由,我们建议你撤销你的电子证书,然后重新申请新的电子证书。你须要缴交表格上定明的年费。
M. 电子证书(个人)"互认版"及电子证书(机构)"互认版"
M-1 电子证书(个人)"互认版"和 电子证书(机构)"互认版",有何好处?
电子证书(个人)"互认版"和 电子证书(机构)"互认版"已被香港邮政指定参与《粤港两地电子签名证书互认办法》下的证书互认计划注。证书获AdobeR信任,适用于PDF文件签署。
香港邮政已指定电子证书(个人)"互认版" 及电子证书(机构)"互认版" 参与《粤港两地电子签名证书互认办法》下的证书互认计划。有关具互认资格的特定证书类别及这些证书类别的互认识别方法,请参阅广东省经济和信息化委员会发布的官方信任列表(http://gdii.gd.gov.cn/list/content/post_949021.html),以确定证书类别是否具互认资格及其有效期。数字政策办公室亦会在其信任列表备存有关资料的副本,以供参考。
M-2 我已拥有电子证书(个人)/电子证书(机构),现在想转用电子证书(个人)"互认版"/ 电子证书(机构)"互认版",应如何申请?
可以填写(个人)"互认版"/ 电子证书(机构)"互认版"的申请表,到邮政局办理手续及缴交费用即可完成申请。而原有的电子证书(个人)/电子证书(机构)可继续使用至有效期完结,届时亦可选择申请绩期。
M-3 电子证书(个人)"互认版"/ 电子证书(机构)"互认版"可提供的储存媒体是什么?
电子证书(个人)"互认版"及电子证书(机构)"互认版"只可储存在电子证书Token (SafeNet)或电子证书Token (FEITIAN)。而每份电子证书必须独立存放于电子证书Token。
M-4 可以选择将电子证书(个人)"互认版"/ 电子证书(机构)"互认版"储存在电子证书档案USB吗?
不能。
M-5 如果忘记了我的电子证书(个人)/ 电子证书(机构)"互认版"的密码,我应该怎样办?
你可经香港邮政核证机关网页要求撤销你的电子证书,然后重新申请新的电子证书。你须要缴交表格上定明的年费。
M-6 电子证书(个人)"互认版"/ 电子证书(机构)"互认版"在续期时可否转用另一种电子证书Token?
可以。你可以在续期时用相对应的续期表格以转用另一种电子证书Token。电子证书(个人)"互认版"请下载相关续期表格(电子证书Token (SafeNet)续期表格 (CPos 798AMR-S) 或电子证书Token (FEITIAN)续期表格 (CPos 798AMR-F))。电子证书(机构)"互认版" 请下载相关续期表格(电子证书Token (SafeNet)续期表格 (CPos 798FMR-S) 或电子证书Token (FEITIAN)续期表格 (CPos 798FMR-F))。
M-7 我可否将一份电子证书(个人)"互认版"/ 电子证书(机构)"互认版"同时存放于电子证书Token (SafeNet)及电子证书Token (FEITIAN)?
不可以。你需要申请两份电子证书(个人)"互认版"/ 电子证书(机构)"互认版"。
N. 电子证书(机构)"具自动交换资料功能"
N-1 我已拥有电子证书(机构),现在想转用电子证书(机构)"具自动交换资料功能",应如何申请?
如现时的电子证书(机构)登记人欲在证书上增加具自动交换资料功能,须在证书续期时填妥电子证书(机构)"具自动交换资料功能"附加申请表格及电子证书(机构)续期表格,并附上有关的文件,到邮政局办理手续及缴交费用即可完成申请。
N-2 我拥有的电子证书(机构)仍然现行有效,但未增加"具自动交换资料功能",我能否使用该电子证书登入我在税务局「自动交换财务帐户资料网站」/ 「国别报告网站」的账户?
你需要申请电子证书(机构)"具自动交换资料功能"来登入税务局「自动交换财务帐户资料网站」/ 「国别报告网站」的账户。
N-3 如果我的机构没有商业登记证,能否申请电子证书(机构)"具自动交换资料功能"?
如申报财务机构没有商业登记证,但需要申请电子证书(机构)"具自动交换资料功能"来登入税务局「自动交换财务帐户资料网站」/「国别报告网站」的账户,该机构须提交由税务局发出的证明文件副本来代替商业登记证以申请电子证书(机构)"具自动交换资料功能"。
O. 电子证书(伺服器)
O-1 在申请电子证书(伺服器)时,应申请那一项电子证书(伺服器)?
申请人可因应个别的需要,选择所需的电子证书(伺服器),以下例子可供参考:
- 电子证书(伺服器)"通用版":申请人拥有多个同一域名的伺服器名称。
例如发出予 *.eCert.gov.hk 的电子证书(伺服器)"通用版",可用于以下所有伺服器名称:
- www.eCert.gov.hk
- eCert.gov.hk
- mail.eCert.gov.hk
- www1.eCert.gov.hk
- 电子证书(伺服器)"多域版":申请人拥有多个不同域名的伺服器名称。
例如一份电子证书(伺服器)"多域版"可识别以下不同域名的伺服器名称:
- www.eCert.gov.hk
- eCert.gov.hk
- www.e-Cert.gov.hk
- www.eCert.hk
- 电子证书(伺服器)〔不属于"通用版"和"多域版"〕:只能识别一个伺服器名称。适合只有一个或少量伺服器。例如:
- www.eCert.gov.hk
系统平台/应用 | 最低配置 |
Windows Server | 2003 SP2 + KB 938397 |
Apache Server | 依据OpenSSL 的版本.(0.9.8o或以上) |
Microsoft Exchange Server | 依据Windows Server 的版本 |
IBM Domino Server | 9.x 连同修复包 |
IBM HTTP Server | 8.5 (附带Domino 9) |
Oracle Weblogic | 10.3.1或以上版本 |
O-3 在申请各类电子证书(伺服器)时,伺服器名称有何限制?
- 电子证书(伺服器)〔不属于"通用版"和"多域版"〕:只可登记一个伺服器名称,并且不可有通配符("*")。
- 电子证书(伺服器)"通用版":只可登记一个伺服器名称,及伺服器名称的最左边部份指定为通配符("*")。
- 电子证书(伺服器)"多域版":可登记多至50个伺服器名称,及伺服器名称不可有通配符("*")。
注意:所有登记的伺服器名称,必须为申请人机构所拥有。
O-4 电子证书(伺服器)"通用版"及"多域版",有何好处?
电子證书(伺服器)"通用版"及"多域版",有以下的好处:
- 电子证书(伺服器)"通用版"可用于登记人机构所拥有的同一域名或子域名的所有伺服器名称。
- 电子证书(伺服器)"多域版"可用于多至50个由登记人机构所拥有的伺服器名称,伺服器名称更可属于登记人机构所拥有的不同域名。
- 证书附有"数码签署"密码匙使用方法,可用于伺服器验证及与伺服器建立安全通讯通道。
因此,若申请人拥有多个同一域名或多个不同域名的伺服器名称,电子证书(伺服器)"通用版"或"多域版"可更有效管理及更方便使用。
O-5 如何上载电子证书(伺服器)"通用版"及"多域版"之「证书签署要求」(Certificate Signing Request, "CSR")?其步骤与电子证书(伺服器)之「证书签署要求」步骤是否不同?
电子证书(伺服器)"通用版"及"多域版"之「证书签署要求」步骤和电子证书(伺服器)之「证书签署要求」步骤相同,你只须要为每份所申请的证书上载一次「证书签署要求」,不论你为电子证书(伺服器)"通用版"申请多少个"附加伺服器"或者为电子证书(伺服器)"多域版"申请多少个"额外伺服器名称",及你只需要在「证书签署要求」输入用作电子证书主体名称的伺服器名称,而不需要输入任何"额外伺服器名称",在签发证书时系统会自动加入所申请的"额外伺服器名称"。有关「证书签署要求」的详情,请参阅电子证书(伺服器)用户指南。
O-6 电子证书(伺服器)"通用版"和"多域版"可用于多个伺服器上,那么会签发多少份证书给申请人?
所申请的每一份电子证书(伺服器)"通用版"或"多域版",均只会有一份电子证书签发给申请人,申请人可自行复制证书,用于所申请的相关伺服器上。
O-7 可否申请一份电子证书(伺服器)同时具备"通用版"及"多域版"之特点?
不可以。一份电子证书(伺服器)只可具备"通用版"或"多域版"之其中一个特点。如申请人需要"通用版"及"多域版"之特点,可为相关伺服器申请两份电子证书(伺服器):一份"通用版"及一份"多域版"。
O-8 在"搜寻及下载电子证书(伺服器)"的应用程式中,应使用哪一个伺服器名称来搜寻电子证书(伺服器)"通用版"或"多域版"的证书?
在搜寻电子证书(伺服器)"通用版"的证书时,你可以搜寻带有或不带有通配符("*")部份的伺服器名称。例如:若想搜寻发出予 *.eCert.gov.hk 的电子证书(伺服器)"通用版",你可以搜寻 *.eCert.gov.hk 或 eCert.gov.hk 来搜寻及下载相关的电子证书(伺服器)"通用版"之证书。在搜寻电子证书(伺服器)"多域版"的证书时,你可以搜寻证书内所载的任何一个伺服器名称,包括用作电子证书主体名称的伺服器名称或证书主体别名内的任何一个额外伺服器名称,以搜寻及下载相关的电子证书(伺服器)"多域版"之证书。
O-9 可否用IP地址(互联网规约地址)代替伺服器名称以申请电子证书(伺服器)?
所有电子证书(伺服器)均不接受IP地址作为伺服器名称。
O-10 如何计算电子证书(伺服器)"通用版"之"附加伺服器数量"?
每份电子证书(伺服器)"通用版"的登记费己包含证书在一台伺服器(预设伺服器)上使用之登记费。如证书需安装在其他运作于预设伺服器操作系统以外之实体伺服器或虚拟伺服器上使用,则每个这样的实体伺服器或虚拟伺服器便需要缴付相关登记费。
例子一:电子证书(伺服器)"通用版"安装在一台主要伺服器及一台备用伺服器上:总共安装电子证书(伺服器)"通用版"之伺服器为两台,而"附加伺服器"为一台。
例子二:电子证书(伺服器)"通用版"安装在一台实体伺服器及两台虚拟伺服器上,而每台伺服器皆运作其个别的操作系统:总共安装电子证书(伺服器)"通用版"之伺服器为三台,而"附加伺服器"为两台。
O-11 在申请电子证书(伺服器)"通用版"时,已登记附加伺服器数量,若在证书发出后,附加伺服器数量有所改变,应怎么办?
若附加伺服器数量有所增加,而证书仍在有效期内,申请人可以填写申请表以增加附加伺服器数量,并只需缴付新增加的附加伺服器数量的相关费用。无论证书于何时在新增加的附加伺服器上使用,每台新增加的附加伺服器所需缴付的登记费必须覆盖其电子证书整个有效期。而在证书续期时,便要填写附加伺服器所需的总数量,并缴付电子证书续期费用,及附加伺服器总数的相关登记费。
若附加伺服器数量有所减少,登记人只可在证书续期时,更改所需的附加伺服器数量,并缴付电子证书续期费用,及附加伺服器总数的相关登记费。
已缴付的登记费用,并不会因登记人已减少附加伺服器数量,而有所退款。
O-12 申请电子证书(伺服器)"通用版"时,伺服器名称可否带有多于一个通配符("*")?
不可以。一份电子证书(伺服器)"通用版"只可接受在伺服器名称的完整格式网域名称的最左边部份带有一个通配符("*")。
O-13 电子证书(伺服器)"多域版"证书签发后,可否增加/减少/更改其伺服器名称?
不可以。电子证书(伺服器)"多域版"一经签发,证书内所有伺服器名称均不可更改。登记人可考虑申请另外一份的电子证书(伺服器),以应新的需要。
O-14 可否只撤销电子证书(伺服器)"多域版"的其中部份而非全部伺服器名称?
电子证书(伺服器)"多域版"不接受只撤销其中部份而非全部伺服器名称。电子证书(伺服器)"多域版"一旦被撤销,证书内之所有伺服器名称都会被撤销及失效。
按照RFC6844文件所规定,核证机关授权记录使得域名拥有者可以指定一个或多个认可的核证机关为该域名发出数码证书。
香港邮政会对列于证书上的域名进行核证机关授权记录的检查。若核证机关授权记录存在,但记录并未将香港邮政之域名 "eCert.gov.hk" 或 "hongkongpost.gov.hk" 列入为获授权证书发出人的域名,则其证书申请将不会被继续处理。若列于证书上的域名并没有核证机关授权记录,且网域认可检查没有出现警告或错误信息,则香港邮政认为申请人同意让香港邮政为其域名发出数码证书。
O-17 如何设定核证机关授权记录来指定香港邮政为我的域名发出数码证书?
你需要检查你的域名系统是否已设定核证机关授权记录,如没有设定核证机关授权记录,且网域认可检查没有出现警告或错误信息,则任何核证机关包括香港邮政可以为你的域名发出数码证书。若你的域名系统已设定核证机关授权记录,则你需要检查并加入下列的核证机关授权记录以指定香港邮政为你的域名发出数码证书(以example.com为例):
example.com. CAA 0 issue "eCert.gov.hk"
example.com. CAA 0 issue "hongkongpost.gov.hk"
可以。由2019年7月1日起 ,由根源证书CA3签发的电子证书(伺服器)支援以 ISO/IEC 10646字元编码的中文网域名称。
O-19 我可否申请一份显示中文机构名称的电子证书(伺服器)?
可以。 由2019年7月1日起,在提交「证书签署要求」(CSR) 时,登记人可选择显示中文机构及分行名称之电子证书(服务器)。 唯证书一经发出,该项数据即不可更改。
有关「证书签署要求」的详情,请参阅电子证书(伺服器)用户指南。
O-20 甚么是交叉证书"Hongkong Post Root CA 3"?我是否需要安装此证书?
香港邮政核证机关于2022年12月提供了一张由"GlobalSign Root CA – R3"根源证书签发,有效期至2029年3月,名为"Hongkong Post Root CA 3"("交叉证书 2022")的新交叉证书,籍此建立从香港邮政根源证书CA3到"GlobalSign Root CA - R3"根源证书的信任关系。电子证书(伺服器)的登记人,须采取以下行动,使"未有预载根源证书CA3的旧版本移动/桌面装置"("旧装置")能继续进入他们已安装电子证书(伺服器)的网站/伺服器。
- 如你是电子证书(伺服器)的登记人,请在你的应用程式(例如网页伺服器)安装由根源证书CA3发出的中继证书"Hongkong Post e-Cert SSL CA 3 - 17"。如你是延伸认证电子证书(伺服器)的登记人,则请在你的应用程式中安装中继证书"Hongkong Post e-Cert EV SSL CA 3 - 17"。
- 在你的应用程式(例如网页伺服器)安装由"GlobalSign Root CA - R3"根源证书签发的交叉证书"Hongkong Post Root CA 3"。
有关安装中继证书的详细说明,请参阅https://www.ecert.gov.hk/product/ecert/guide/server_sc.html
有关交叉证书的详细说明,请参阅https://www.ecert.gov.hk/product/download/root/index_sc.html
O-21 如果我已经安装了于2019年发布,由Hongkong Post Root CA 1根源证书签发有效期到2023年5月15日的"Hongkong Post Root CA 1"交叉证书("交叉证书 2019"),是否需要将其替换为"交叉证书 2022"?电子证书(伺服器)是否需要同时替换?
你需要以"交叉证书 2022"替换你网站/伺服器中的"交叉证书 2019",有关更换原因请参阅O-20。
以下资料及档案可于香港邮政核证机关网站下载。
- 交叉证书 2022;
- 2022年12月发布的用户指南,提供相关安装资讯;及
- 电子证书(伺服器)核证作业准则提供更新了的"交叉证书 2022"相关资讯。
除非你是延伸认证电子证书(伺服器)的登记人,否则你无需更换你的电子证书(伺服器)。延伸认证电子证书(伺服器)的登记人则须申请新的延伸认证电子证书(伺服器),使在O-20中所述的旧装置在香港邮政根源证书CA1到期后仍能保留延伸认证处理。
O-22 O-20中提到的"交叉证书 2022"支援哪些版本的网页浏览器和作业系统?"交叉证书 2022"和"Hongkong Post Root CA3"根源证书在支援范围上有什么分别?
在O-20中提到有效期至2029年3月,由"GlobalSign Root CA - R3"根源证书签发的"交叉证书 2022"已获旧装置的信任,根据兼容性资料的概述,总结如下:
- 适用于Android 3或更高版本的Google Chrome和其他支援的网页浏览器
- 适用于Windows XP或更高版本的Microsoft Internet Explorer / Edge和其他支援的网页浏览器
- 适用于iOS 4或更高版本、MacOS X 10.6.4或更高版本的Apple Safari和其他支援的网页浏览器
- 适用于所有支援平台的Mozilla Firefox版本3.6.12或更高版本
"Hongkong Post Root CA3"根源证书是获主要网页浏览器信任的根源证书,有效期至2042年6月3日,总结如下:
- 适用于Android 11或更高版本的Google Chrome和其他支援的网页浏览器
- 适用于Windows 10或更高版本的Microsoft Internet Explorer / Edge和其他支援的网页浏览器
- 适用于iOS 15或更高版本、iPadOS 15或更高版本、MacOS 12或更高版本的Apple Safari和其他支援的网页浏览器
- 适用于所有支援平台的Mozilla Firefox版本68或更高版本
如果私人密码匙资料已泄露予未经授权人士,或是其资料已遭受未经授权人士存取,那么可以说私人密码匙资料被外泄。
O-24 如果我怀疑自己的电子证书(伺服器)私人密码匙资料已外泄,我应怎样做?
我们建议您向香港邮政要求撤销你的证书。
O-25 如果我有与某电子证书(伺服器)私人密码匙资料已外泄的证据,我可怎样做?
您应透过密码匙外泄报告网页向香港邮政递交报告,我们会核实报告内容并于24 小时内按准则中程序撤销此电子证书(伺服器)。
O-26 什么是延伸认证电子证书(伺服器)?延伸认证电子证书(伺服器)与现有的电子证书(伺服器)的认证程序有何不同?
在发出延伸认证电子证书(伺服器)之前,香港邮政会根据核证机关/浏览器论坛 (CA/Browser Forum)发布有关发行和管理延伸认证证书的准则("延伸认证SSL证书准则"),核实申请人机构身分的合法存在、实体存在和营运存在。
O-27 延伸认证电子证书(伺服器)与现有的电子证书(伺服器)相比,有什么优点?
当浏览安装了延伸认证电子证书(伺服器)的网站时,一般浏览器会在网址列上显示挂锁图示。当点击挂锁图示时,会显示登记人机构的名称以供核证。
P. 银行证书(个人/机构/银行)
核证登记银行是指依据香港法律第155章之银行条例持有有效牌照的银行,并已经在香港邮政核证机关登记成为银行证书(银行)的登记人。核证登记银行是银行证书(个人)或银行证书(机构)申请人和登记人的代理人。
任何欲登记该服务之香港的持牌银行需与香港邮政核证机关作出预先安排,香港邮政核证机关才可以为已登记之 持牌银行发出银行证书(银行)。有意申请银行证书(银行)的香港持牌银行,可致电香港邮政核证机关热线2921 6633或 电邮至enquiry@eCert.gov.hk了解更多详情。
有兴趣的申请人可直接向有关核证登记银行查询详情。
P-4 2015年12月发出的新版银行证书(个人)/银行证书(机构)与2010年3月前发出的银行证书(个人)/银行证书(机构)有何不同?
银行证书(个人)及银行证书(机构)只能用于列载于银行证书《核证作业准则》附錄 E 中该核证登记银行名称相对应的指明的交易。
由2010年3月31日开始,香港邮政核证机关已终止所有旧版银行证书之核证登记机关运作,并停止发出旧版银行证书。
香港邮政核证机关会签发RSA密码匙长度为2048位元的银行证书(个人)/银行证书(机构)/银行证书(银行)。
P-6 本人可申请多少份香港邮政银行证书(个人)/银行证书(机构)?
香港邮政没有限制个人或机构申请银行证书的数量,或个人或机构透过核证登记银行申请银行证书的数量。然而,有关核证登记银行本身或有限制在其申请银行证书的数量。
银行证书(个人)/银行证书(机构)/银行证书(银行)之有效期由1至3年不等。
银行证书一经产生即不可更改。如果您更改了证书上的任何资料(如姓名或电子邮件地址),必须申请新的证书,同时亦应撤销现行证书。详情请向核证登记银行查询。
香港邮政核证机关所签发的银行证书(个人)/银行证书(机构)/银行证书(银行)将预设为SHA-256。
香港邮政核证机关透过核证登记银行签发之银行证书(个人)/银行证书(机构)只是给登记人用于列载于银行证书《核证作业准则》附錄 E 中该核证登记银行名称相对应的指明的交易。
银行证书(个人)/银行证书(机构)撤销要求
可透过传真、邮寄信件、电子邮件或亲身前往核证登记银行的方式提出撤销证书要求以及随后的最后确认,方式取决于所聯系之核证登记银行能接纳的方式而定。核证登记银行会将撤销证书要求转递给香港邮政。
银行证书(银行)撤销要求
关于撤销银行证书(银行)的申请,银行证书(银行)之核证登记银行的获授权代表须提前至少一个月透过传真、邮寄信件、电子邮件或亲身向香港邮政核证机关提出撤销证书之要求以及随后的最终确认。
Q. 香港邮政根源证书 (Root CA 1) 更替
Q-1 为什需要更替根源证书 "Hongkong Post Root CA 1"?
根源证书 "Hongkong Post Root CA 1" 有效期为二十年(2003年5月15日- 2023年5月15日),他的私人密码匙用作签发中继证书,此等中继证书用于签发香港邮政电子证书。由于香港邮政电子证书的最长有效期为4年,为可持续签发长达4年有效期的电子证书,香港邮政核证机关需要在现有根源证书到期前更替新的根源证书。新的根源证书必须在现行证书有效期届满4年前开始运作,以能使其中继证书继续签发长达4年的证书。
现有的根源证书Root CA1及其中继证书会分别停止签发新中继证书及新电子证书,新根源证书Root CA2及Root CA3会用作签发新的中继证书及新的电子证书。而现时根源证书拥有之中继证书,将会继续撤销其所签发的证书及产生其各自的证书撤销清单(CRL),直到其有效期届满为止。
即使根源证书更替后,登记人仍可继续持有及使用根源证书更替前所签发的认可证书,直至其使用期届满。
根源证书更替后,登记人可能需要安装新中继证书SubCA SSL CA3-17以认可其电子证书(伺服器)。登记人亦可能需要在其应用程式(例如浏览器或伺服器) 安装新根源证书Root CA2,中继证书SubCA 2-15 或 SubCA 2-17以认可其他种类的电子证书。安装那张中继证书去识别新的证书链,需视乎登记人证书的种类。
Q-4 申请及撤销电子证书的程序会否因根源证书更替而有所改变?
电子证书的申请及撤销程序在根源证书更替后将维持不变。
Q-5 我们的应用系统支援香港邮政电子证书,我们可否在根源证书更替前,要求测试证书及证书撤销清单作系统测试?
应用系统供应商可致电香港邮政核政机关客户服务电话 2921 6633或电邮至enquiry@eCert.gov.hk查询要求提供测试用的证书,证书撤销清单及储存库查阅服务的事宜。
Q-6 在完成根源证书更替后,现有根源证书是否会继续更新及发布授权撤销清单(ARL)?
在完成根源证书更替后,现有的根源证书会继续更新及发布授权撤销清单(ARL),直至2023年5月15日其有效期届满为止。
Q-7 根据更替根源证书"Hongkong Post Root CA 1"的实施计划,由2019年2月1日至2019年3月31日期间, 除了政府政策局/部门的电子证书(机构)会由根源证书Root CA1签发外,相关指定政府电子服务的电子证书登记人,其电子证书(个人) 及电子证书(机构)亦会由根源证书Root CA1签发。香港邮政核证机关备存指定政府电子服务清单,各政策局/部门如需要将其电子服务包括在清单内须与香港邮政核证机关商讨。香港邮政核证机关备存的清单有那些指定的政府电子服务?
香港邮政核证机关备存的指定政府电子服务清单,包括 (1)政府电子贸易服务 (包括:进出口报关单,货物舱单,应课税品许可证及产地来源) ; (2)战略物品许可证电子服务。