香港数码证书颁发中心数码证书（伺服器）

按照RFC6844文件所规定，核证机关授权记录使得域名拥有者可以指定一个或多个认可的核证机关为该域名发出数码证书。

证书签署要求(CSR)是一个由您的伺服器所产生并包含你的机构资料和公开密码匙的要求。香港数码证书颁发中心会根据您的证书签署要求以发出您的数码证书（伺服器）。

数码证书（伺服器）”多域版”不接受只撤销其中部份而非全部伺服器名称。数码证书（伺服器）”多域版”一旦被撤销，证书内之所有伺服器名称都会被撤销及失效。

所有数码证书（伺服器）均不接受IP地址作为伺服器名称。

不可以。一份数码证书（伺服器）只可具备”通用版”或”多域版”之其中一个特点。如申请人需要”通用版”及”多域版”之特点，可为相关伺服器申请两份数码证书（伺服器）：一份”通用版”及一份”多域版”。

在搜寻数码证书（伺服器）”通用版”的证书时，你可以搜寻带有或不带有通配符(“*”)部份的伺服器名称。例如：若想搜寻发出予 *.dCert.hk 的数码证书（伺服器）”通用版”，你可以搜寻 *.dCert.hk 或 dCert.hk 来搜寻及下载相关的数码证书（伺服器）”通用版”之证书。在搜寻数码证书（伺服器）”多域版”的证书时，你可以搜寻证书内所载的任何一个伺服器名称，包括用作数码证书主体名称的伺服器名称或证书主体别名内的任何一个额外伺服器名称，以搜寻及下载相关的数码证书（伺服器）”多域版”之证书。

您应该将整个证书签署要求(CSR)的内容包括 “—–BEGIN NEW CERTIFICATE REQUEST—–” 及 “—–END NEW CERTIFICATE REQUEST—–” 贴上Certificate Signing Request (CSR)的文字方格。

1. 数码证书（伺服器）〔不属于”通用版”和”多域版”〕：只可登记一个伺服器名称，并且不可有通配符(“*”)。
2. 数码证书（伺服器）”通用版”：只可登记一个伺服器名称，及伺服器名称的最左边部份指定为通配符(“*”)。
3. 数码证书（伺服器）”多域版”：可登记多至50个伺服器名称，及伺服器名称不可有通配符(“*”)。

注意：所有登记的伺服器名称，必须为申请人机构所拥有。

若附加伺服器数量有所增加，而证书仍在有效期内，申请人可以填写申请表以增加附加伺服器数量，并只需缴付新增加的附加伺服器数量的相关费用。无论证书于何时在新增加的附加伺服器上使用，每台新增加的附加伺服器所需缴付的登记费必须覆盖其数码证书整个有效期。而在证书续期时，便要填写附加伺服器所需的总数量，并缴付数码证书续期费用，及附加伺服器总数的相关登记费。

若附加伺服器数量有所减少，登记人只可在证书续期时，更改所需的附加伺服器数量，并缴付数码证书续期费用，及附加伺服器总数的相关登记费。

已缴付的登记费用，并不会因登记人已减少附加伺服器数量，而有所退款。

申请人可因应个别的需要，选择所需的数码证书（伺服器），以下例子可供参考：

1. 数码证书（伺服器）”通用版”：申请人拥有多个同一域名的伺服器名称。 例如发出予 *.dCert.hk 的数码证书（伺服器）”通用版”，可用于以下所有伺服器名称：
   • www.dCert.hk
   • dCert.hk
   • mail.dCert.hk
   • www1.dCert.hk
2. 数码证书（伺服器）”多域版”：申请人拥有多个不同域名的伺服器名称。 例如一份数码证书（伺服器）”多域版”可识别以下不同域名的伺服器名称：
   • www.dCert.hk
   • dCert.hk
   • www.e-Cert.gov.hk
   • www.eCert.hk
3. 数码证书（伺服器）〔不属于”通用版”和”多域版”〕：只能识别一个伺服器名称。适合只有一个或少量伺服器。例如：
   • www.dCert.hk

域名认证 (DV)： 仅验证网域的所有权。

机构认证 (OV)： 既验证网域所有权，也验证组织的法律身份。提供更高的信任度。

延伸认证 (EV)： 最高级别的验证。它需要对组织的法律和运营身份进行严格审核。EV 证书是电子商务和金融网站的理想选择。

数码证书（伺服器）”通用版”及”多域版”之「证书签署要求」步骤和数码证书（伺服器）之「证书签署要求」步骤相同，你只须要为每份所申请的证书上载一次「证书签署要求」，不论你为数码证书（伺服器）”通用版”申请多少个”附加伺服器”或者为数码证书（伺服器）”多域版”申请多少个”额外伺服器名称”，及你只需要在「证书签署要求」输入用作数码证书主体名称的伺服器名称，而不需要输入任何”额外伺服器名称”，在签发证书时系统会自动加入所申请的”额外伺服器名称”。有关「证书签署要求」的详情，请参阅数码证书（伺服器）用户指南。

如使用中文网域名称，登记人需使用国际网域名称转换工具转换成ASCII 字元。

请参阅数码证书（伺服器）用户指南以了解base64编码和附合PKCS#10格式的证书签署要求(CSR)。请确保于「Common Name」一欄输入正确的登记域名（例如：www.example.com）及「Country」一欄输入「HK」。

每份数码证书（伺服器）”通用版”的登记费己包含证书在一台伺服器（预设伺服器）上使用之登记费。如证书需安装在其他运作于预设伺服器操作系统以外之实体伺服器或虚拟伺服器上使用，则每个这样的实体伺服器或虚拟伺服器便需要缴付相关登记费。

例子一：

数码证书（伺服器）”通用版”安装在一台主要伺服器及一台备用伺服器上：总共安装数码证书（伺服器）”通用版”之伺服器为两台，而”附加伺服器”为一台。

例子二：

数码证书（伺服器）”通用版”安装在一台实体伺服器及两台虚拟伺服器上，而每台伺服器皆运作其个别的操作系统：总共安装数码证书（伺服器）”通用版”之伺服器为三台，而”附加伺服器”为两台。

你需要检查你的域名系统是否已设定核证机关授权记录，如没有设定核证机关授权记录，且网域认可检查没有出现警告或错误信息，则任何核证机关包括香港数码证书颁发中心可以为你的域名发出数码证书。若你的域名系统已设定核证机关授权记录，则你需要检查并加入下列的核证机关授权记录以指定香港数数码证书颁发中心为你的域名发出数码证书（以example.com为例）:

example.com. CAA  0  issue  “dCert.hk”

我们建议您向香港数码证书颁发中心要求撤销你的证书。

在常用的平台及应用上安装SHA-256数码证书（伺服器）的最低配置要求如下：

当浏览安装了延伸认证数码证书（伺服器）的网站时，一般浏览器会在网址列上显示挂锁图示。当点击挂锁图示时，会显示登记人机构的名称以供核证。

可以。

可以。在提交「证书签署要求」(CSR) 时，登记人可选择显示中文机构及分行名称之数码证书（伺服器）。唯证书一经发出，该项资料即不可更改。

有关「证书签署要求」的详情，请参阅数码证书（伺服器）用户指南。

请慎重选择自己的网域名称。证书一经发出，即不可更改该项资料。网域名称应与安装证书的伺服器名称完全相同，当在伺服器上连接一个浏览器时，其网域名称将与证书上的网域名称相配。若不相配，浏览器将发出认证错误资讯。

不可以。数码证书（伺服器）”多域版”一经签发，证书内所有伺服器名称均不可更改。登记人可考虑申请另外一份的数码证书（伺服器），以应新的需要。

数码证书（伺服器）”通用版”及”多域版”，有以下的好处:

• 数码证书（伺服器）”通用版”可用于登记人机构所拥有的同一域名或子域名的所有伺服器名称。
• 数码证书（伺服器）”多域版”可用于多至50个由登记人机构所拥有的伺服器名称，伺服器名称更可属于登记人机构所拥有的不同域名。
• 证书附有”数码签署”密码匙使用方法，可用于伺服器验证及与伺服器建立安全通讯通道。

因此，若申请人拥有多个同一域名或多个不同域名的伺服器名称，数码证书（伺服器）”通用版”或”多域版”可更有效管理及更方便使用。

所申请的每一份数码证书（伺服器）”通用版”或”多域版”，均只会有一份数码证书签发给申请人，申请人可自行复制证书，用于所申请的相关伺服器上。

不可以。一份数码证书（伺服器）”通用版”只可接受在伺服器名称的完整格式网域名称的最左边部份带有一个通配符(“*”)。

香港数码证书颁发中心会对列于证书上的域名进行核证机关授权记录的检查。若核证机关授权记录存在，但记录并未将香港数码证书颁发中心之域名 “dCert.hk”列入为获授权证书发出人的域名，则其证书申请将不会被继续处理。若列于证书上的域名并没有核证机关授权记录，且网域认可检查没有出现警告或错误信息，则香港数码证书颁发中心认为申请人同意让香港数码证书颁发中心为其域名发出数码证书。