Questions
網域名稱驗證(DV): 僅驗證申請者對該網域名稱的控制權。
組織驗證(OV): 驗證申請者對該網域名稱的控制權以及組織的身份,能提供較高程度的信任。
延伸驗證(EV): 證書保證了品牌保護的最高標準。驗證證書須核實申請人機構身分的合法存在、實體存在和營運存在。
HKCA會對列於證書上的域名進行核證機關授權記錄的檢查。若核證機關授權記錄存在,但記錄並未將HKCA之域名 “hkca.hk” 列入為獲授權證書發出人的域名,則其證書申請將不會被繼續處理。若列於證書上的域名並沒有核證機關授權記錄,且網域認可檢查沒有出現警告或錯誤信息,則HKCA認為申請人同意讓HKCA為其域名發出數碼證書。
延伸認證數碼證書(伺服器)為網站營運機構的身分提供最高層級的使用者信任保障。
在發出延伸認證數碼證書(伺服器)之前,HKCA會根據核證機關/瀏覽器論壇 (CA/Browser Forum)發佈有關發行和管理延伸認證證書的準則(“延伸認證SSL證書準則”),核實申請人機構身分的合法存在、實體存在和營運存在。
所有數碼證書(伺服器)均不接受IP地址作為伺服器名稱。
您應該將整個證書簽署要求(CSR)的內容包括 “—–BEGIN NEW CERTIFICATE REQUEST—–” 及 “—–END NEW CERTIFICATE REQUEST—–” 貼上Certificate Signing Request (CSR)的文字方格。
- 數碼證書(伺服器)〔不屬於”通用版”和”多域版”〕:只可登記一個伺服器名稱,並且不可有通配符(“*”)。
- 數碼證書(伺服器)”通用版”:只可登記一個伺服器名稱,及伺服器名稱的最左邊部份指定為通配符(“*”)。
- 數碼證書(伺服器)”多域版”:可登記多至50個伺服器名稱,及伺服器名稱不可有通配符(“*”)。
注意:所有登記的伺服器名稱,必須為申請人機構所擁有。
若附加伺服器數量有所增加,而證書仍在有效期內,申請人可以填寫申請表以增加附加伺服器數量,並只需繳付新增加的附加伺服器數量的相關費用。無論證書於何時在新增加的附加伺服器上使用,每台新增加的附加伺服器所需繳付的登記費必須覆蓋其數碼證書整個有效期。而在證書續期時,便要填寫附加伺服器所需的總數量,並繳付數碼證書續期費用,及附加伺服器總數的相關登記費。
若附加伺服器數量有所減少,登記人只可在證書續期時,更改所需的附加伺服器數量,並繳付數碼證書續期費用,及附加伺服器總數的相關登記費。
已繳付的登記費用,並不會因登記人已減少附加伺服器數量,而有所退款。
申請人可因應個別的需要,選擇所需的數碼證書(伺服器),以下例子可供參考:
- 數碼證書(伺服器)”通用版”:申請人擁有多個同一域名的伺服器名稱。 例如發出予 *.dCert.hk 的數碼證書(伺服器)”通用版”,可用於以下所有伺服器名稱:
- www.dCert.hk
- dCert.hk
- mail.dCert.hk
- www1.dCert.hk
- 數碼證書(伺服器)”多域版”:申請人擁有多個不同域名的伺服器名稱。 例如一份數碼證書(伺服器)”多域版”可識別以下不同域名的伺服器名稱:
- www.dCert.hk
- dCert.hk
- www.e-Cert.gov.hk
- www.eCert.hk
- 數碼證書(伺服器)〔不屬於”通用版”和”多域版”〕:只能識別一個伺服器名稱。適合只有一個或少量伺服器。例如:
- www.dCert.hk
數碼證書(伺服器)”通用版”及”多域版”之「證書簽署要求」步驟和數碼證書(伺服器)之「證書簽署要求」步驟相同,你只須要為每份所申請的證書上載一次「證書簽署要求」,不論你為數碼證書(伺服器)”通用版”申請多少個”附加伺服器”或者為數碼證書(伺服器)”多域版”申請多少個”額外伺服器名稱”,及你只需要在「證書簽署要求」輸入用作數碼證書主體名稱的伺服器名稱,而不需要輸入任何”額外伺服器名稱”,在簽發證書時系統會自動加入所申請的”額外伺服器名稱”。
有關「證書簽署要求」的詳情,請參閱數碼證書(伺服器)用戶指南。
每份數碼證書(伺服器)”通用版”的登記費己包含證書在一台伺服器(預設伺服器)上使用之登記費。如證書需安裝在其他運作於預設伺服器操作系統以外之實體伺服器或虛擬伺服器上使用,則每個這樣的實體伺服器或虛擬伺服器便需要繳付相關登記費。
例子一:
數碼證書(伺服器)”通用版”安裝在一台主要伺服器及一台備用伺服器上:總共安裝數碼證書(伺服器)”通用版”之伺服器為兩台,而”附加伺服器”為一台。
例子二:
數碼證書(伺服器)”通用版”安裝在一台實體伺服器及兩台虛擬伺服器上,而每台伺服器皆運作其個別的操作系統:總共安裝數碼證書(伺服器)”通用版”之伺服器為三台,而”附加伺服器”為兩台。
你需要檢查你的域名系統是否已設定核證機關授權記錄,如沒有設定核證機關授權記錄,且網域認可檢查沒有出現警告或錯誤信息,則任何核證機關包括HKCA可以為你的域名發出數碼證書。若你的域名系統已設定核證機關授權記錄,則你需要檢查並加入下列的核證機關授權記錄以指定香港郵政為你的域名發出數碼證書(以example.com為例):
example.com. CAA 0 issue ”hkca.hk”
在常用的平台及應用上安裝SHA-256數碼證書(伺服器)的最低配置要求如下:
| 系統平台/應用 | 最低配置 |
| Windows Server | 2003 SP2 + KB 938397 |
| Apache Server | 依據OpenSSL 的版本.(0.9.8o或以上) |
| Microsoft Exchange Server | 依據Windows Server 的版本 |
| IBM Domino Server | 9.x 連同修復包 |
| IBM HTTP Server | 8.5 (附帶Domino 9) |
| Oracle Weblogic | 10.3.1或以上版本 |
當瀏覽安裝了延伸認證數碼證書(伺服器)的網站時,一般瀏覽器會在網址列上顯示掛鎖圖示。當點擊掛鎖圖示時,會顯示登記人機構的名稱以供核證。
數碼證書(伺服器)”多域版”不接受只撤銷其中部份而非全部伺服器名稱。數碼證書(伺服器)”多域版”一旦被撤銷,證書內之所有伺服器名稱都會被撤銷及失效。
不可以。數碼證書(伺服器)”多域版”一經簽發,證書內所有伺服器名稱均不可更改。登記人可考慮申請另外一份的數碼證書(伺服器),以應新的需要。
可以。
不可以。一份數碼證書(伺服器)只可具備”通用版”或”多域版”之其中一個特點。如申請人需要”通用版”及”多域版”之特點,可為相關伺服器申請兩份數碼證書(伺服器):一份”通用版”及一份”多域版”。
可以。在提交「證書簽署要求」(CSR) 時,申請人可選擇顯示中文機構及分行名稱之數碼證書(伺服器)。唯證書一經發出,該項資料即不可更改。
請慎重選擇自己的網域名稱。證書一經發出,即不可更改該項資料。網域名稱應與安裝證書的伺服器名稱完全相同,當在伺服器上連接一個瀏覽器時,其網域名稱將與證書上的網域名稱相配。若不相配,瀏覽器將發出認證錯誤資訊。
數碼證書(伺服器)”通用版”及”多域版”,有以下的好處:
- 數碼證書(伺服器)”通用版”可用於登記人機構所擁有的同一域名或子域名的所有伺服器名稱。
- 數碼證書(伺服器)”多域版”可用於多至50個由登記人機構所擁有的伺服器名稱,伺服器名稱更可屬於登記人機構所擁有的不同域名。
- 證書附有”數碼簽署”密碼匙使用方法,可用於伺服器驗證及與伺服器建立安全通訊通道。
因此,若申請人擁有多個同一域名或多個不同域名的伺服器名稱,數碼證書(伺服器)”通用版”或”多域版”可更有效管理及更方便使用。
所申請的每一份數碼證書(伺服器)”通用版”或”多域版”,均只會有一份數碼證書簽發給申請人,申請人可自行複製證書,用於所申請的相關伺服器上。
按照RFC6844文件所規定,核證機關授權記錄使得域名擁有者可以指定一個或多個認可的核證機關為該域名發出數碼證書。
不可以。一份數碼數碼證書(伺服器)”通用版”只可接受在伺服器名稱的完整格式網域名稱的最左邊部份帶有一個通配符(“*”)。