常見問答集

首頁 >常見問答集 > 05 憑證類別問題

05 憑證類別問題

  • Q01.
    請問學校應該向GCA還是XCA申請憑證?

    學校(含公立及私立學校)已改由XCA簽發憑證,請向XCA申請憑證。

  • Q02.
    請問國防部所屬軍事學校該向GCA還是XCA申請憑證?

    國防部所屬軍事學校仍由GCA簽發憑證,請向GCA申請憑證。

  • Q03.
    請問內政部所屬警察學校該向GCA還是XCA申請憑證?

    內政部所屬警察學校仍由GCA簽發憑證,請向GCA申請憑證。

  • Q04.
    請問什麼是機關或單位非IC卡類憑證?

    一般機關或單位申請憑證是將其私密金鑰與憑證存放在IC卡中,也有些機關或單位因為加解密速度或是其他用途,需要將私密金鑰與憑證存放於其他儲存媒體(例如:保密器、硬碟),此類憑證即為非IC卡類憑證;目前最常使用的用途為寄送簽章或加密電子郵件及機關電子關防。

  • Q05.
    請問要如何選擇非IC卡類憑證或專屬類伺服應用軟體憑證之金鑰產製工具與製作憑證請求檔?

    非IC卡類憑證與專屬類伺服應用軟體憑證之產製金鑰及憑證請求檔(Certificate Signing Request,CSR)的工具需要配合應用系統所使用的環境為何來選擇,所以憑證管理中心無法提供通用工具,而用戶在申請憑證時應自行使用適合之工具程式來產製金鑰及CSR,若用戶無法確定應該使用什麼工具程式,應向應用系統開發廠商詢問清楚,以免使用了錯誤之工具產製金鑰及CSR,等憑證核發下來後,才發現產製的金鑰格式無法相容於應用系統。

  • Q06.
    請問為何要申請及使用Server AP憑證?

    為了在網路上確認伺服器應用程序(Server Application Process)之身分,確保資訊傳遞的安全,例如:SSL類的Server AP憑證可讓使用者確認並信賴網站的身分,使瀏覽器與伺服器之間的通訊有安全加密的功能,確保通訊過程中的資料安全以及傳遞資料的完整性。

  • Q07.
    請問什麼是SSL類的Server AP憑證?

    AP係指Application Process,使用到SSL/TLS通信協定的伺服器可申請SSL類的Server AP憑證,該類憑證其主體及主體別名均有註記該Server AP所使用的Domain Name,例如:大型行政資訊系統電子閘門(國家發展委員會電子閘門平台案、戶役政電子閘門、工商電子閘門、稅務電子閘門、地政電子閘門、公路監理電子閘門等)或是一般電子化政府網站就常會使用到。

  • Q08.
    請問什麼是專屬類別 (Proprietary)的Server AP憑證?

    AP係指Application Process,如果該AP所用之通訊協定為專屬自訂而非通用標準時,其Common Name使用該Server AP的名稱,例如:國家發展委員會建置公文電子閘道委外服務、財稅五年平台案網路報稅、電子公文交換等。

  • Q09.
    請問機關或單位非IC卡類憑證及伺服器應用軟體憑證有何不同?

    非IC卡類憑證其憑證主體為機關或單位,私密金鑰存放在IC卡以外的媒體,例如:保密器、代表機關或單位之電子關防。伺服器應用軟體憑證其憑證主體為機關或單位所擁有之伺服器應用軟體(專屬類或SSL),用以確認伺服器應用程序(Server Application Process)之身分,確保資訊傳遞的安全,並以下表區分其差別:

    憑證類別 憑證簽發對象 憑證中的Key Usage 憑證中DN的Common Name
    機關單位非IC卡類憑證 政府機關(構)憑證非IC卡類憑證 包含中央政府機關、地方政府機關、公營事業及公立機構。 Digital Signature 政府機關單位的X.500名稱
    政府單位憑證非IC卡類憑證 包含上述政府機關(構)之附屬單位,或附屬單位的附屬單位。 Key Encipherment / Data Encipherment
    SSL類伺服器應用軟體憑證 政府機關(構)、政府單位、或醫事機構所建置的SSL/TLS Server,例如具有SSL功能的HTTP Server等。 Key Encipherment Domain Name
    專屬類伺服器應用軟體憑證 簽發對象為政府機關(構)、政府單位、或醫事機構所建置的特殊用途之伺服應用軟體憑證,例如用來提供身分識別服務的Server等。 Digital Signature Server AP的名稱
    Key Encipherment / Data Encipherment
  • Q14.
    請問Windows SHA2憑證之支援性為何?

    Windows SHA2憑證支援性:
    (1)Windows2003之IIS預設並不支援SHA2憑證,須下載微軟更新檔(更新檔編號為KB938397及KB968730),之後安裝Patch到Server上即可。
    (2)Windows2000本身無法支援SHA2憑證,且微軟已不提供支援,建議更換新版的Windows Server。
    (3)Windows XP需升級到SP3版才支援SHA2憑證。

  • Q15.
    請問SSL憑證瀏覽器及手機/平板支援性為何?

    請參考「SSL憑證瀏覽器及手機/平板支援性」之說明,Android手動匯入步驟,若Chrome瀏覽器發生問題請參考「chrome手動刪除中繼憑證讓Windows安裝GRCA2憑證」說明。

  • Q16.
    使用chrome瀏覽SSL憑證之網頁會出現「連線加密使用過舊的密碼編譯法」之訊息?

    針對最近Google公布的貴賓狗風險(POODLE bites),主要問題是在Web Server與Browser之間https溝通使用的通訊協定漏洞,也就是SSL 3.0所造成,和憑證本身並無關聯,請調整網頁主機之設定。

  • Q17.
    使用Firefox或Android瀏覽部分政府HTTPS網站時,出現「安全連線失敗」或「此網站的安全性憑證有問題」之告警訊息,顯示憑證有無效之簽章。

    由於目前第二代GRCA根憑證尚未植入Mozilla之信任清單中(僅第一代GRCA根憑證有植入),因此若以Firefox或Android瀏覽安裝GCA SSL憑證之政府網頁時,網站主機將傳送一張中繼之自發憑證至用戶端,將憑證驗證路徑導回第一代GRCA根憑證,藉此完成憑證驗證。
    但因微軟之網際網路資訊服務(Internet Information Services, IIS)無法正確將此自發憑證回傳給用戶之瀏覽器,因此造成憑證無法完成驗證,導致Firefox瀏覽器出現「此網站之憑證不被信任」之告警訊息,此現象僅出現於使用Firefox瀏覽使用微軟IIS架設之網站時(其他如Apache或Tomcat架設之網站則不會有此問題)。另針對Google Android手機產生與Mozilla Firefox相同問題,主要是因為Google表示要等Mozilla同意植入後,Google才會同意將我們的根憑證也放入Google之信賴清單。
    憑證管理中心針對此問題提供暫時性之解決方式,若以Firefox或Android瀏覽此類IIS架設之政府HTTPS網站出現告警訊息時,請先連線至GCA之首頁(https://gca.nat.gov.tw),網站將於背景自動安裝自發憑證,一旦進入GCA首頁後表示安裝完成,即可返回欲瀏覽之網頁(僅須執行一次後將不再出現此問題)。
    另憑證管理中心經由GRCA重新簽發2張自發憑證(GRCA1_to_GRCA1_5.cer及GRCA1_5_to_GRCA2.cer),透過網頁伺服器上安裝5層憑證串鍊,已可解決Firefox與Android 7.0以上遇到GCA SSL憑證不信任的問題,詳細安裝說明請參考GCA網站上提供之各種Web Server的安裝手冊