HiTRUST

	Buy Now
	憑證更新
	憑證廢止
	憑證搜尋
	立即試用

	憑證產業應用
	適用伺服器平台
	WhitePaper
	常見Q&A
	申請流程介紹
	全球安全網站認證標章

VeriSign PKI 認證管理服務

VeriSign 伺服器數位憑證

應用系統安控模組 X-SMS

常見Q&A

安裝篇

Microsoft IIS 4

一.	產生憑證要求檔(CSR )
1.1	開啟【Internet 服務管理員】。
1.2	選擇要申請憑證的web站台後按右鍵，選擇「內容」
1.3	在內容的視窗中，點選「目錄安全設定」頁面。
1.4	在「安全通訊」下有個「編輯」的按鈕，點選它後再按下「識別碼管理員」按鈕。
1.5	在識別碼管理員，點選WWW圖示按右鍵，選擇「建立新識別碼」，便會出現對話視窗。
1.6	選擇「將您的要求放入要傳送給授權單位的檔案中」，並輸入合適的檔案名稱(或採用預設值)。按下一步。
1.7	輸入對話視窗中的欄位。在位元長度請使用1024，才能建立128 bits的SSL加密連線。注意：務必記住您所輸入的密碼，才能進行憑證的安裝及備份。
1.8	接著請輸入憑證資訊，必須為英數字。在公用名稱的部份，應填寫申請的網站名稱，如：www.hitrust.com.tw
1.9	再填寫國家(Country)、州省(State)、城市(Locality)。
1.10	最後填寫憑證管理者的相關資料。
1.11	完成所有步驟後，系統會給予您一個訊息，您只須按下「完成」鈕後，便完成金鑰及CSR產製。
1.12	在關閉「識別碼管理員」視窗前，會出現「您要確認有的變更嗎?」視窗，請選擇「是」。否則您先前所產生的私鑰就移失了。
1.13	開啟CSR檔案，複製文中的 -----BEGIN NEW CERTIFICATE REQUEST----- 至 -----END NEW CERTIFICATE REQUEST-----之間的文字(包含上下面行)，到下列網頁進行申請。 http://www.hitrust.com.tw/newsite/ssl_c3.asp
二.	安裝憑證
2.1	當您收到網際威信所核發的憑證信件後，請將內文中憑證編碼存成文字檔，如： cert.txt
2.2	開啟「Internet服務管理員」中的「識別碼管理員」，在要安裝的憑證要求上按右鍵，選擇「安裝識別碼認證」
2.3	選擇先前存好的憑證檔案進行匯入。
2.4	接著會請您輸入密碼，該密碼為當初產製金鑰對時的密碼。
2.5	當您完成憑證安裝，關閉「識別碼管理員」視窗時，請務必要進行變更確認，才能生效。

Microsoft IIS 5

一.

1.1

開啟【Internet 服務管理員】。

1.2

選擇要申請憑證的web站台後按右鍵，選擇「內容」

1.3

在內容的視窗中，點選「目錄安全設定」頁面。

1.4

在「安全通訊」下有個「伺服器憑證」的按鈕，點選它後會啟動Web伺服器憑證精靈，按下一步。

1.5

選擇「建立新憑證」，按下一步。

1.6

選擇「準備要求，但稍後再傳送」，按下一步。

1.7

輸入憑證名稱及位元長度。在位元長度部份建議選擇1024。

1.8

接著是輸入憑證資訊會列在憑證檔案中，請務必填寫正確資訊。用以身份鑑別。以下資訊請以英數字填寫，不可包含特殊字元，如：! @ # $ % ^ * ( ) ~ ? > < & / \

─	公司資訊：公司名稱、單位名稱。 Name)。如:www.hitrust.com.tw
─	共用名稱：請輸入欲申請的網站名稱(Host Name + Domain Name)。如:www.hitrust.com.tw
─	地理資訊：國家、洲/省

1.9

選擇憑證要求檔儲存位置及檔名，按下一步。

1.10

列出憑證要求檔資訊，請您再次確認憑證資訊，按下一步，完成CSR產製程序

1.11

開啟 CSR檔案，複製檔案中的 -----BEGIN NEW CERTIFICATE REQUEST----- 至 -----END NEW CERTIFICATE REQUEST-----之間的文字(包含上下面行)，到下列網頁進行申請。
http://www.hitrust.com.tw/newsite/ssl_c3.asp

二.

安裝憑證

2.1

當您收到網際威信所核發的憑證信件後，請將內文中憑證編碼存成文字檔，如： cert.txt

2.2

開啟「Internet服務管理員」，在要安裝憑證的站台上按右鍵，選擇「內容」。

2.3

點選「目錄安全設定」中的「伺服器憑證」按鈕。

2.4

選擇「處理擱置要求及安裝憑證」，按下一步。

2.5

將先前存好的憑證檔案進行匯入。

2.6

系統會出現「正在完成web伺服器憑證精靈」，點選「完成」即安裝成功。

Microsoft IIS 6

一.

產生憑證要求檔(CSR)

1.1

開啟【Internet 服務管理員】。

1.2

選擇要申請憑證的web站台後按右鍵，選擇「內容」

1.3

在內容的視窗中，點選「目錄安全設定」頁面。

1.4

在「安全通訊」下有個「伺服器憑證」的按鈕，點選它後會啟動Web伺服器憑證精靈，按下一步。

1.5

選擇「建立新憑證」，按下一步。

1.6

選擇「準備要求，但稍後再傳送」，按下一步。

1.7

輸入憑證名稱及位元長度。在位元長度部份建議選擇1024。

1.8

接著是輸入憑證資訊會列在憑證檔案中，請務必填寫正確資訊。用以身份鑑別。以下資訊請以英數字填寫，不可包含特殊字元, 如：! @ # $ % ^ * ( ) ~ ? > < & / \

─	公司資訊：公司名稱、單位名稱。 Name)。如:www.hitrust.com.tw
─	共用名稱：請輸入欲申請的網站名稱(Host Name + Domain Name)。如:www.hitrust.com.tw
─	地理資訊：國家、洲/省

1.9

選擇憑證要求檔儲存位置及檔名，按下一步

1.10

列出憑證要求檔資訊，請您再次確認憑證資訊，按下一步，完成CSR產製程序。

1.11

開啟CSR檔案，複製檔案中的 -----BEGIN NEW CERTIFICATE REQUEST----- 至 -----END NEW CERTIFICATE REQUEST-----之間的文字(包含上下面行)，到下列網頁進行申請。
http://www.hitrust.com.tw/newsite/ssl_c3.asp

二.

安裝憑證

2.1

當您收到網際威信所核發的憑證信件後，請將內文中憑證編碼存成文字檔，如： cert.txt

2.2

開啟「Internet服務管理員」，在要安裝憑證的站台上按右鍵，選擇「內容」。

2.3

點選「目錄安全設定」中的「伺服器憑證」按鈕。

2.4

選擇「處理擱置要求及安裝憑證」，按下一步。

2.5

將先前存好的憑證檔案進行匯入。

2.6

指定SSL連接埠為 443

2.7

系統會出現「正在完成web伺服器憑證精靈」，點選「完成」即安裝成功。

Apache

一.	產生憑證要求檔(CSR)
1.1	至產生金鑰對的目錄下，如 /usr/local/apache/ssl.certs/，執行下列指令 # openssl genrsa –des3 –out pirvate.key 1024 # openssl req –new –key private.key –out public.csr OpenSSL會要求輸入相關資訊，請務必輸入正確資訊，所輸入的資料將會列在憑證資訊中。
1.2	完成上述指令後，即可用文字編輯工具展開CSR檔，然後複製檔案中從 -----BEGIN NEW CERTIFICATE REQUEST----- 至 -----END NEW CERTIFICATE REQUEST-----之間的文字(包含上下面行)，到HiTRUST申請憑證
二.	安裝憑證
2.1	當收到網際威信所核發的憑證信件後，請將內文中憑證編碼存成文字檔，如： public.crt
2.2	修改 httpd.conf檔案，指定SSL相關檔案及路徑 SSLCertificateFile /etc/ssl/crt/public.crt 指定憑證檔案路徑 SSLCertificateKeyFile /etc/ssl/crt/private.key 指定私鑰檔案路徑
2.3	完成上述設定後，用下列指令重啟Server，即可啟動 Apache-SSL Server apachectl stop apachectl startssl
2.3

iPlanet

一.

建立Trust Database(首次申請時需建立)

1.1

登入 Web Server Administration Server Page，選擇要安裝憑證的Server，點選「Manage」。

1.2

在Server Manage的頁面中選擇「Security」 , 再點選「Creat Database」。

1.3

建立的 Trust Database是用做存放Key Pair(Public and Private Key). 會放置在以下目錄
server_root/alias/-key.db.

二.

產生憑證要求檔(CSR)

2.1

在Server Manage的頁面中選擇「Request a Certificate」來產生憑證要求檔。

2.2

在Request a Server Certificate頁面中，輸入憑證相關資訊，說明如下：

─	New Certificate: 指定產生新的憑證要求檔。(首次申請，請選擇此項) 。
─	Certificate Renewal:由已存在的憑證來產生憑證要求檔。
─	CA-email address:此欄位請輸入憑證管理人Email帳號，當產生CSR檔案時，系統會將CSR檔案寄到此Email帳號。
─	Cryptographic Module:指定憑證所使用的模組。
─	Key Pair File Password:請輸入Certificate Datebase Password。
─	Requestor Name:指定憑證核發的對象名稱。
─	Telephone Number:指定電話名稱。
─	Common Name:輸入申請的網站名稱(如:www.hitrust.com.tw) 。
─	Email Address:輸入業務聯絡人Email帳號。
─	Organization:請輸入公司名稱。
─	Organizational Unit:請輸入部門名稱。
─	Locality:地區。
─	State or Province:洲/省。
─	Country:請入兩字元的國別，如TW。
─	輸入完上述資訊後，按下OK，便會出現CSR資訊，請複製網頁中的 -----BEGIN NEW CERTIFICATE REQUEST----- 至 -----END NEW CERTIFICATE REQUEST-----之間的文字(包含上下面行)，到HiTRUST網站申請憑證

三.

安裝憑證

3.1

在Server Manage的頁面中選擇「Security」，再點選「Install Certificate」。

3.2

在Certificate for的選項中，請點選「This Server」

3.3

輸入Key Pair File Password – 此為在產生憑證要求檔時所輸入的密碼，即Trust Database Password

3.4

Certifificate Name的欄位可不輸入。

3.5

點選「Message Text」選項，將核發Email 中的憑證編碼從”’Begin Certificate”到”End Certificate”，複製貼上後，按下OK。

3.6

系統會出現憑證資訊，請您按下「Add Server Certificate」，將憑證加入。

3.7

安裝好憑證後，接下來要啟動SSL，請切換到「Preferences」下的「 Encryption On/Off」。選擇「On」，並在 Port Number欄位中輸入443。按下OK，儲存變更，輸入Key-Pair File 的密碼。

3.8

重新啟動Web Server。

常見錯誤訊息

	為何我輸入憑證要求檔(CSR)後出現錯誤碼:1005
	這表示您已經申請過相同DN(Distingusihed Name)值的憑證，因此系統拒絕對此執行憑證簽發動作，請您改以別的欄位值產生CSR後再次申請憑證。
	為何我輸入憑證要求檔(CSR)後出現錯誤碼:107
	此訊息表示在產生憑證要求檔時輸入了特殊字元，如@,#,&,!….等，系統無法接授此字元，請您重新產生憑證要求檔(CSR).
	為何我輸入憑證要求檔(CSR)後出現錯誤碼:108，CSR欄位長度錯誤
	此訊息表示在CSR中所輸入的值與該欄位的長度規定不符，常見發生錯誤欄位值為 Country，該欄位限定為2字元。或者您是使用IIS上”更新憑證”選項來產生憑證要求檔，會自動在Organization Unit欄位中加入許多文字，造成欄位長度過長，請您重新產生憑證要求檔(CSR)
	為何我輸入憑證要求檔(CSR)後出現錯誤碼:950b
	此訊息表示在憑證要求檔中所輸入的State(省份)格式錯誤。請重新產生CSR，其中State的值至少3個字元以上。
	為何我輸入憑證要求檔(CSR)後出現錯誤碼:950f
	此訊息表示在憑證要求檔中，Common Name 的值為IP。Common Name的值必需是網站名稱(FQDN)，不可以是IP，請重新產生CSR後再次申請憑證
	如何進行憑證更新?
	憑證在到期前一個月內，可到<a>憑證更新</a>網頁，使用您去年申請時所輸入的憑證管理密碼來進行憑證更新，系統會自動帶出您去年申請時所留下的CSR，你可選擇延用舊的CSR，或使用今年產生的CSR來進行申請，即可完成線上申請程序。
	如果今年續約，更換憑證共用名稱(Common Name)，是否可用憑證更新程序來申請今年的憑證?
	不可以的。憑證更新只限在相同的憑證資訊來進行更新，簽發出新憑證效期的憑證。如更換憑證共用名稱，需採用新申請程序。
	如果在續約時選擇更換憑證產品類別，是否可用憑證更新程序來申請今年的憑證?
	不可以的。憑證更新無法更換產品類別，此更新程序已預設為原先憑證的產品類別無法再做選擇。因此如更換憑證產品別，也請使用憑證新申請程序。
	憑證安裝完成後，如果要更換伺服器，憑證是否要一併置換?
	如果只是將憑證換到另一平台相同的伺服器，您只需要將憑證匯出後，再匯入到另一伺服器上。如果是要更換伺服器平台(如Windows IIS換至 Apache)，請您置換您的憑證，必需在新的伺服器平台上重新產生憑證要求檔(CSR)來做申請。
	如果憑證申請安裝好後，伺服器要更換IP憑證是否有影響?
	憑證是依據網站名稱FQDN來做核發，不是依據IP。如果您要換伺服器的IP，並不會影響到憑證的應用。您只需要確認您新的IP已經在伺服器上設定完成即可。
	為何在進入加密網頁時，會出現下載不安全性資料的訊息?
	一般會出現是因為該網頁有使用Frame，所以除主頁以外，其他頁會下載未經過 SSL加密的一般資訊，建議需要使用SSL加密的網頁，儘量不要使用Frame的環境。
	如何確認我們的伺服器憑證已安裝完成?
	伺服器憑證安裝完成後，可用Browser連結至您們的網站，當執行https:時進入至安全性連線右下角的黃色鎖頭會出現並且是lock住，請點選黃色鎖頭進入至憑證的資訊內容即可檢視出是否為新的憑證。
	是否在一台伺服器中不能安裝兩個憑證?
	在同一台伺服器上是可同時安裝兩個憑證，但需注意的是，必須要有兩個IP，因為 SSL連線的機制是IP-based。
	進入加密網頁出現憑證已過期訊息，但檢視憑證仍在有效日期內
	:請檢視憑證的詳細路徑，確認憑證路徑中的所有憑證是否無過期訊息。如果所有憑證皆顯示正常，則為系統的時間設定錯誤，而造成憑證效期判別為過期。