香港邮政电子核证
主页 联络我们 网页指南 English 繁體中文 文字版
A A A


翘晋电子商务有限公司

香港邮政

符合万维网联盟有关无障碍网页设计指引中2A级别的要求

 
 

电子证书常见问题解答

目录

  1. 香港邮政核证机关
  2. 公开密码匙基础建设(PKI)
  3. 香港邮政电子核证服务
  4. 电子证书(伺服器)提交证书签署要求(CSR)
  5. 电子核证代制密码匙服务常见答问
  6. 技术问题
  7. 撤销证书
  8. 删除和恢复问题
  9. 备存和转移证书
  10. 智能身份证电子证书 / 智能卡阅读器
  11. 电子证书(个人)续期
  12. 电子证书档案卡
  13. 电子证书档案USB
  14. 电子证书Token
  15. 电子证书(个人)"互认版"及电子证书(机构)"互认版"
  16. 电子证书(机构)"具自动交换资料功能"
  17. 电子证书(伺服器)
  18. 银行证书(个人/机构/银行)
  19. 香港邮政根源证书 (Root CA 1) 更替

A. 香港邮政核证机关

  1. 为何应选择香港邮政核证机关作为自己的核证机关?
  2. 香港是否有规定数码签署的法律?
  3. 电子核证证书的"倚据限额"的涵义是甚麽?
  4. 旧有核证机关系统终止运作
  5. 香港邮政核证机关于2010年2月26日更替中继证书
  6. 于2010年2月26日的中继证书更替会为电子证书登记人带来什么影响?
  7. 香港邮政核证机关于2015年1月1日新增中继证书"Hongkong Post e-Cert CA 1 - 14"
  8. 于2015年1月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 14"会为电子证书(伺服器)登记人在配置时带来什么影响?
  9. 中继证书"Hongkong Post e-Cert CA 1"的有效期届满
  10. 香港邮政核证机关于2015年9月1日新增中继证书"Hongkong Post e-Cert CA 1 - 15"
  11. 于2015年9月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 15"会为电子证书(伺服器)登记人在配置时带来什么影响?

B. 公开密码匙基础建设(PKI)

  1. 甚麽是加密?
  2. 甚麽是公开密码匙加密术及其原理?
  3. 甚麽是核证机关(CA)?
  4. 甚麽是数码证书?
  5. 甚麽是香港邮政电子核证证书?
  6. 甚麽是数码签署及其原理?
  7. 甚麽是杂凑函数/值?
  8. 甚麽是S/MIME?
  9. 为甚麽我的电子邮件上有一个S/MIME .p7s或 / 和S/MIME .p7m附件?
  10. 甚麽是安全接层(SSL)?
  11. 如何发送经签署及加密的电子邮件?
  12. 怎样才能获得其他人的数码证书(内含公开密码匙),以向其发送加密电子邮件?
  13. 如何读取收到的加密电子邮件?
  14. 如何核实所收到的签署讯息上的数码签署?
  15. 我怎样才能知道收到的电子邮件是否被签署或加密?
  16. 是否可以向没有数码证书的人发送安全电子邮件?

C. 香港邮政电子核证服务

  1. 香港邮政电子核证支援汉字吗?
  2. 香港邮政电子核证支援Elliptic Curve Cryptosystem (ECC)吗?
  3. 香港邮政电子核证支援object signing和Authenticode吗?
  4. 香港邮政电子证书密码匙长度是多少?
  5. 香港邮政电子核证证书国际通用吗?
  6. 进入香港邮政核证机关网站有哪些系统需求?
  7. 我是否可以在Hotmail或其他电子邮件服务上使用电子核证?
  8. 我的香港邮政电子核证证书届满后怎么办?
  9. 本人可申请多少份香港邮政电子核证证书?
  10. 一份香港邮政电子核证证书的费用是多少?
  11. 香港邮政电子核证证书的有效期为多长?
  12. 我能否更改证书上的资料?
  13. 香港邮政核证机关所支援的密码匙长度是多少?
  14. 香港邮政核证机关支援什么杂凑算法?
  15. 香港邮政核证机关签发的电子证书(伺服器)支援线上证书状态通讯规约 (OCSP) 吗?
  16. 为何浏览器首先须接受香港邮政根源核证机关的证书?
  17. 我应在何处下载香港邮政根源核证机关证书的公开密码匙?如何将其安装于浏览器中?
  18. 如何重新获得已丢失或被意外删除的电子核证?
  19. 为何设置香港邮政电子核证证书备存文档十分重要?
  20. 我是否可以将一个香港邮政电子核证证书用于多个电子邮件地址?
  21. 香港邮政电子核证证书的认证程序是甚么?
  22. 为何香港邮政向未成年人发出数码证书?
  23. 可否从香港邮政伺服器目录中查阅保密证书?
  24. 有关香港邮政电子核证证书使用条件的资料可以在哪里查阅得到?
  25. 如收件人以同一电邮地址登记不止一张数码证书,如何以Netscape浏览器搜寻指定的一张?
  26. 为甚么电子证书申请人必须亲往邮政局办理身分认证手续?
  27. 可否在午饭时段﹑周末或周日到邮政局办理身分认证手续?
  28. 如在安装电子证书过程中遇到任何问题的话,可如何求助?
  29. 香港邮政将电子证书储存媒体邮寄给申请人的安排是否恰当?
  30. 电子证书可否在运行Linux和Mac操作系统的电脑上使用?
  31. 电子证书(机构职务)和电子证书(机构)有什么分别?
  32. 本机构适合使用电子证书(机构职务)还是电子证书(机构)?
  33. 电子证书(机构职务)和电子证书(机构)在申请程序上有什么分别?
  34. 为什么登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)?
  35. 电子证书上的「登记人机构名称」和「登记人机构分行/部门名称」的栏位长度最长是多少?

D. 电子证书(伺服器)提交证书签署要求(CSR)

  1. 甚么是证书签署要求(CSR)?
  2. 如何发出证书签署要求(CSR)?
  3. 在电子证书(伺服器)提交证书签署要求(CSR)过程中,我应该将甚么贴上Certificate Signing Request (CSR)的文字方格?
  4. 如果我没有在提交证书签署要求(CSR)过程的最后步骤下载我的电子证书(伺服器),我应该怎样办?

E. 电子核证代制密码匙服务常见答问

  1. 何谓代制密码匙服务?如何运作?
  2. 是否各种证书都可使用这项服务?
  3. 有没有设定防护措施保护由代制密码匙服务产生的证书档案?
  4. 有没有应用工具或程式可以更改电子证书档案的密码?
  5. 使用"更改电子证书档案密码程式"软件有没有甚麽限制?
  6. "更改电子证书档案密码程式"软件如何操作?

F. 技术问题

  1. 系统要求
  2. 怎样才能知道自己的香港邮政电子核证证书是否已安装好?
  3. 个人辨识密码好象不起作用时怎麽办?
  4. 为何在下载证书後不久即收到"证书已届满"讯息?
  5. 本人已删除自己的Netscape Navigator,并已安装最新版本。我怎样重新安装自己的数码证书?
  6. 如何判断自己是否连接到一个安全伺服器上?
  7. 怎样才能获得128位元∕全强度对话方块?
  8. 我在自己的伺服器证书申请上应使用甚麽网域名称?
  9. 保密证书内哪个字段控制一对密码匙的用途?
  10. 电子证书(保密)证书的用途为何?
  11. 在Crypto Tools 软件内使用电子证书

G. 撤销证书

  1. 如何撤销香港邮政电子核证证书?
  2. 为甚麽要在证书届满前撤销证书?
  3. 如何核实已撤销证书的进展情况?

H. 删除和恢复问题

  1. 如果我的硬碟出现故障,是否有办法恢复香港邮政电子核证证书?
  2. 如果电脑和证书同时失窃应该怎麽办?
  3. 我是否应该删除已届满或已撤销的电子证书?

I. 备存和转移证书

  1. 如何储存数码证书的备存文档?
  2. 如何将我的数码证书转移到另一台电脑?

J. 智能身份证电子证书 / 智能卡阅读器

K. 电子证书(个人)续期

  1. 为什么电子证书(个人)用户在证书三年有效期届满时没有收到电邮续期通知?
  2. 延长登记使用期与证书续期有甚么分别?
  3. 用户该如何办理续期?可透过甚么途径?
  4. 续期的电子证书(个人)的有效年期为多少?收费如何?
  5. 我可否一次过缴付三年登记使用期的费用?
  6. 电子证书(个人)用户续期时会否获得新密码信封?
  7. 电子证书获续期後,收到了新的密码信封及电子证书储存媒体,是否可以弃掉旧有电子证书的密码及电子证书储存媒体?
  8. 续期的电子证书载入智能身份证后,它与旧有智能身份证电子证书是否并存于智能身份证内?
  9. 电子证书(个人)用户可否于智能身份证电子证书有效期届满后,自行把另一载于电子证书储存媒体内的电子证书(个人)重新载入智能身份证内?
  10. 用户可循哪些途径查询有关电子证书事宜?

L. 电子证书档案卡

M. 电子证书档案USB

  1. 什么是电子证书档案USB?
  2. 电子证书档案USB的主要好处是什么?
  3. 我需要支付电子证书档案USB的费用吗?
  4. 软磁碟在何时不再是电子證书储存媒体的其中一个选择?
  5. 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书档案USB内的电子证书?
  6. 电子证书档案USB与电子证书档案卡有什么区别?
  7. 我申请电子证书时没有选择电子证书档案USB。在收到我的电子证书后,我可以选购电子证书档案USB吗?

N.电子证书Token

  1. 什么是电子证书Token?
  2. 那一种类的香港邮政电子证书采用电子证书Token作为储存媒体?
  3. 电子证书Token和智能身份证有什么不同之处?
  4. 电子证书Token和电子证书档案USB有什么不同之处?
  5. 怎样读取储存在电子证书Token或智能身份证内的电子证书(个人)"互认版"电子证书?
  6. 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书Token内的电子证书?
  7. 我可否更改存于电子证书Token的密码?
  8. 若我的电子证书Token已损坏,不能读取电子证书资料,我应怎样做?
  9. 如果遗失了电子证书Token,我应该怎样办?

P.电子证书(机构)"具自动交换资料功能"

  1. 我已拥有电子证书(机构),现在想转用电子证书(机构)"具自动交换资料功能" ,应如何申请?
  2. 我拥有的电子证书(机构)仍然现行有效,但未增加"具自动交换资料功能",我能否使用该电子证书登入我在税务局「自动交换财务帐户资料网站」/ 「国别报告网站」的账户?
  3. 如果我的机构没有商业登记证,能否申请电子证书(机构)"具自动交换资料功能"?

O.电子证书(个人)"互认版"及电子证书(机构)"互认版"

  1. 电子证书(个人)"互认版"和 电子证书(机构)"互认版",有何好处?
  2. 我已拥有电子证书(个人)/电子证书(机构),现在想转用电子证书(个人)"互认版"/ 电子证书(机构)"互认版",应如何申请?
  3. 电子证书(个人)"互认版"/ 电子证书(机构)"互认版"可提供的储存媒体是什么?
  4. 我可以选择将电子证书(个人)"互认版"/ 电子证书(机构)"互认版"储存在电子证书档案USB或电子证书档案卡吗?
  5. 如果忘记了我的电子证书(个人)/ 电子证书(机构)"互认版"的密码,我应该怎样办?

Q.电子证书(伺服器)

  1. 在申请电子证书(伺服器)时,应申请那一项电子证书(伺服器)?
  2. 安装SHA-256电子证书(伺服器)有何最低要求?
  3. 在申请各类电子证书(伺服器)时,伺服器名称有何限制?
  4. 电子证书(伺服器)"通用版"及"多域版",有何好处?
  5. 如何上载电子证书(伺服器)"通用版"及"多域版"之「证书签署要求」(Certificate Signing Request, "CSR")? 其步骤与电子证书(伺服器)之「证书签署要求」步骤是否不同?
  6. 电子证书(伺服器)"通用版"和"多域版"可用于多个伺服器上,那么会签发多少份证书给申请人?
  7. 可否申请一份电子证书(伺服器)同时具备"通用版"及"多域版"之特点?
  8. 在"搜寻及下载电子证书(伺服器)"的应用程式中,应使用哪一个伺服器名称来搜寻电子证书(伺服器)"通用版"或"多域版"的证书?
  9. 可否用IP地址(互联网规约地址)代替伺服器名称以申请电子证书(伺服器)?
  10. 如何计算电子证书(伺服器)"通用版"之"附加伺服器数量"?
  11. 在申请电子证书(伺服器)"通用版"时,已登记附加伺服器数量,若在证书发出后,附加伺服器数量有所改变,应怎么办?
  12. 申请电子证书(伺服器)"通用版"时,伺服器名称可否带有多于一个通配符("*")?
  13. 电子证书(伺服器)"多域版"证书签发后,可否增加/减少/更改其伺服器名称?
  14. 可否只撤销电子证书(伺服器)"多域版"的其中部份而非全部伺服器名称?
  15. 甚么是核证机关授权记录?
  16. 香港邮政如何在发出证书前检查核证机关授权记录?
  17. 如何设定核证机关授权记录来指定香港邮政为我的域名发出数码证书?

R.银行证书(个人/机构/银行)

  1. 甚么是核证登记银行?
  2. 如何申请银行证书(银行)?
  3. 如何申请银行证书(个人)/银行证书(机构)?
  4. 2015年12月发出的新版银行证书(个人)/银行证书(机构)与2010年3月前发出的银行证书(个人)/银行证书(机构)有何不同?
  5. 香港邮政银行证书密码匙长度是多少?
  6. 本人可申请多少份香港邮政银行证书(个人)/银行证书(机构)?
  7. 香港邮政银行证书的有效期为多长?
  8. 我能否更改证书上的资料?
  9. 香港邮政核证机关支援什么杂凑算法?
  10. 银行证书与其他电子证书在功能上有何不同?
  11. 如何撤销香港邮政银行证书?

S.香港邮政根源证书 (Root CA 1) 更替

  1. 为什需要更替根源证书 "Hongkong Post Root CA 1"?
  2. 根源证书更替后的证书签发及撤销的安排会是怎样?
  3. 根源证书的替换对电子证书登记人有什么影响?
  4. 申请及撤销电子证书的程序会否因根源证书更替而有所改变?
  5. 我们的应用系统支援香港邮政电子证书,我们可否在根源证书更替前,要求测试证书及证书撤销清单作系统测试?
  6. 在完成根源证书更替后,现有根源证书是否会继续更新及发布授权撤销清单(ARL)?
  7. 根据更替根源证书"Hongkong Post Root CA 1"的实施计划,由2019年2月1日至2019年3月31日期间, 除了政府政策局/部门的电子证书(机构)会由根源证书Root CA1签发外,相关指定政府电子服务的电子证书登记人,其电子证书(个人) 及电子证书(机构)亦会由根源证书Root CA1签发。香港邮政核证机关备存指定政府电子服务清单,各政策局/部门如需要将其电子服务包括在清单内须与香港邮政核证机关商讨。香港邮政核证机关备存的清单有那些指定的政府电子服务?

A. 香港邮政核证机关

A-1 为何应选择香港邮政核证机关作为自己的核证机关?

香港邮政核证机关乃根据电子交易条例第553章获认可的核证机关。香港邮政电子核证证书是由香港邮政署Postmaster General根据电子交易条例及获认可核证机关作业守则的要求发出的获认可证书。

此外,香港邮政核证机关实行严格的认证程序核实登记人的身分,为安全电子商务提供了基础建设。认证程序的详情请见香港邮政核证作业准则

A-2 香港是否有规定数码签署的法律?

有。电子交易条例第553章于2000年1月生效及于2004年7月修订。该条例可于以下网站浏览:https://www.ogcio.gov.hk/sc/our_work/regulation/eto/index.html

A-3 电子核证证书的"倚据限额"的涵义是甚麽?

倚据限额指获认可证书规定的可倚据货币限额。电子交易条例中的相关章节是第41和42节。

A-4 旧有核证机关系统终止运作

香港邮政已于2004年1月完成提升核证机关系统的作业,而新的核证机关系统(「新系统」-其根源(Root)为"Hongkong Post Root CA 1","Hongkong Post e-Cert CA 1"及"Hongkong Post e-Cert CA 1 - 10")亦已接管旧有核证机关系统(「旧系统」-其根源(Root)为"Hongkong Post Root CA"及"Hongkong Post e-Cert CA")的功能。

自2004年2月1日起,各类的认可证书已经由「新系统」发出;而「旧系统」亦已停止发出认可证书。由于「旧系统」发出的认可证书有效期为一年,所有此等证书的有效期已于2005年2月1日或之前终止,现时再无由「旧系统」所发出但仍然有效的认可证书。

「旧系统」已于2005年4月1日起终止服务,及终止以根源(Root)"Hongkong Post Root CA" 及 "Hongkong Post e-Cert CA" 发出证书撤销清单(Certificate Revocation List, CRL)。「旧系统」已于2005年3月31日发出其最后的证书撤销清单。

「旧系统」的终止运作并不影响「新系统」既有的运作(包括发出证书撤销清单)。香港邮政核证机关的各项服务亦不会受影响。由「旧系统」及「新系统」发出的认可证书及证书撤销清单,均可于公开储存库下载。

A-5 香港邮政核证机关于2010年2月26日更替中继证书

中继證书"Hongkong Post e-Cert CA 1"於2003年6月开始签发认可證书及已於2013年5月15日到期。在中继證书"Hongkong Post e-Cert CA 1"到期之前,为可持续签发长达3年有效期的认可證书,香港邮政已於2010年2月26日完成更替中继證书"Hongkong Post e-Cert CA 1"。

完成中继证书更替后,中继证书"Hongkong Post e-Cert CA 1"已停止签发认可证书;而中继證书"Hongkong Post e-Cert CA 1 - 10"已从2010年2月26日开始用作签发认可證书及撤销其所签发的證书。电子證书的申请和撤销程序不会因中继證书更替而改变。

中继證书"Hongkong Post e-Cert CA 1"的有效期已於2013年5月15日届满,其最後一次的證书撤销清单已於当日下午2时15分发出。

如需阅览更多资料,请参阅有关更替中继证书的公告

A-6 中继证书更替会为电子证书登记人带来什么影响?

中继证书更替后,登记人可能需于其应用程式(如网页浏览器或伺服器)安装新的中继证书以认可其证书。

e-Cert管理软件(版本2.1.8 Build 7或以上)可同时支援"Hongkong Post e-Cert CA 1""Hongkong Post e-Cert CA 1 - 10" 中继证书。在中继证书更替之后,电子证书(个人)之登记人需安装或更新e-Cert管理软件,以便继续使用由新的中继证书所签发的智能身份证上的电子证书。

如需阅览更多资料,请参阅有关更替中继证书的公告

A-7 香港邮政核证机关于2015年1月1日新增中继证书"Hongkong Post e-Cert CA 1 - 14"

由2015年1月1日起,新增中继证书"Hongkong Post e-Cert CA 1 - 14"开始用作签发SHA-256电子证书(伺服器)及撤销其所签发的SHA-256电子证书(伺服器)。电子证书(伺服器)的登记程序和撤销程序维持不变。

A-8 于2015年1月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 14"会为电子证书(伺服器)登记人在配置时带来什么影响?

安装于2015年1月1日后发出的SHA-256电子证书(伺服器)时,登记人需在其应用程序,如网页伺服器中安装新的中继证书"Hongkong Post e-Cert CA 1 - 14"以认可其证书。

A-9 中继證书"Hongkong Post e-Cert CA 1"的有效期届满

中继證书"Hongkong Post e-Cert CA 1"曾於下列期间发出电子證书及银行證书:

  • 於2003年6月23日至2010年2月25日期间发出电子證书(个人)
  • 於2004年1月12日至2010年2月25日期间发出电子證书(机构)、电子證书(保密)、电子證书(伺服器)、银行證书(个人)及银行證书(机构)

中继證书"Hongkong Post e-Cert CA 1"已由2010年2月26日起停止签发认可證书及其有效期已在2013年5月15日届满。

中继證书"Hongkong Post e-Cert CA 1"在2013年5月15日下午2时15分(香港时间)发出最後一次"整体證书撤销清单"及"分割式證书撤销清单",其後不再更新。早期所签发的證书撤销清单仍可供参考。

中继證书"Hongkong Post e-Cert CA 1"的有效期届满後,除停止更新由中继證书"Hongkong Post e-Cert CA 1"发出的證书撤销清单外,其他香港邮政核證机关服务一律不受影响。

详情可参阅中继證书有效期届满之相关公告

A-10 香港邮政核证机关于2015年9月1日新增中继证书"Hongkong Post e-Cert CA 1 - 15"

由2015年9月1日起,新增中继证书"Hongkong Post e-Cert CA 1 - 15" 开始用作签发支援线上证书状态通讯规约的电子证书(伺服器)及撤销其所签发支援线上证书状态通讯规约的电子证书(伺服器)。电子证书(伺服器)的登记程序和撤销程序维持不变。

A-11 于2015年9月1日的新增中继证书"Hongkong Post e-Cert CA 1 - 15"会为电子证书(伺服器)登记人在配置时带来什么影响?

安装于2015年9月1日后发出的支援线上证书状态通讯规约的电子证书(伺服器)时,登记人需在其应用程序,如网页伺服器中安装新的中继证书 "Hongkong Post e-Cert CA 1 - 15"以认可其证书。


B.公开密码匙基础建设(PKI)

B-1 甚麽是加密?

加密的概念十分简单:透过特定程序(算法)及密码匙,将讯息从初始(普通文本)转换为另一种不易理解的形式(密码文本)。之後,再使用同一个密码匙将该讯息解密,恢复至其初始形式。若欲解密须知晓加密密码匙。

根据当前使用的加密技巧,本系统的安全特别倚赖於加密密码匙的长度。加密算法目前可公开获得,因此密码匙的复杂程度(即其长度)及机密程度成为确保加密安全强度的要素。

B-2 甚麽是公开密码匙加密术及其原理?

公开密码匙加密术或非对称加密术构成数码签署及公开密码匙基础建设的基础。该技术利用一对数学相关但不同的密码匙私人密码匙及公开密码匙。私人密码匙被机密保存,祗有其拥有者知晓,而公开密码匙则用於广泛传播用途。

若使用某一密码匙加密讯息,祗有使用与之相配的另一个密码匙方能解密。

可以用公开密码匙核实经私人密码匙签署的讯息,或对祗能用私人密码匙解密的讯息进行加密。

B-3 甚麽是核证机关(CA)?

核证机关(CA)指发出供个人或机构使用之独立认证数码证书的组织。

B-4 甚麽是数码证书?

数码证书指由核证机关发出及数码签署的电子文档,以核实证书持有人之身分。

B-5 甚麽是香港邮政电子核证证书?

香港邮政电子核证证书指由香港邮政核证机关(CA)发出、签署及管理并符合X.509第三版本标准之数码证书。

香港邮政核证机关提供四种不同类型的数码证书:

  1. 香港邮政电子证书(个人)证书:用於浏览器及电子邮件程式,令用户可向第三方证明自己的身分。
  2. 香港邮政电子证书(机构)证书:由机构、协会或政府部门使用,可用来向其会员∕雇员发出本机构证书,以进行安全的讯息传送;及香港邮政电子证书(伺服器)证书:用於向用户认证伺服器,由此以安全接层(SSL)讯息进行沟通。
  3. 香港邮政电子证书(保密)证书:只能用於作保密电子通讯的用途。这款证书不可以像个人证书及机构证书一样,在信息上作数码签署。

B-6 甚麽是数码签署及其原理?

数码签署是一个独特的位元串,针对每条讯息独立产生,由发送者私人密码匙"签署",於该讯息发往目标接收人前附加於讯息上。透过使用发送者之公开密码匙核实签署,接收人将可确认发送者身分,并确定该讯息於发送过程未经更改。这样,数码签署提供:

认证:证明电子交易各方之身分。

完整性:确信某一讯息的内容未被干扰或更改。

不得毁约:证明协议符合交易条款及防止任何一方不履行承诺。

B-7 甚麽是杂凑函数∕值?

杂凑函数技术用於计算任何给定讯息(代表讯息内容)的固定长度简短摘要。杂凑函数令改变後的讯息不可能回复其初始状态,且从计算角度来讲很难发现任何两条讯息杂凑出同一结果。

MD5及SHA为常见杂凑算法。

B-8 甚麽是S/MIME?

S/MIME(安全∕多用互联网邮件引述)是透过互联网发送安全电子邮件的未获正式承认的事实标准。MIME是电子邮寄的行业标准格式,界定了讯息主体的架构。S/MIME使MIME标准增加了安全特徵。支援S/MIME的电子邮件应用程式使MIME格式增加了数码签署和加密功能。安全讯息格式的标准化,使用户毋须使用电子邮件软件即可进行私人和经验证的沟通,祗要他们使用的软件兼容S/MIME即可。要发送和接收安全电子邮件,您和您的接收人必须有公开密码匙证书和兼容S/MIME的电子邮件应用程式。

B-9 为甚麽我的电子邮件上有一个S/MIME .p7s或 / 和S/MIME .p7m附件?

S/MIME是安全电子邮件规约,而.p7s是数码签署文档,.p7m是加密文档。如果收到这样的附件,存在两种可能:

  1. 您可能正使用以互联网为基础的电子邮件帐户。建议您将电子邮件帐户更换为一个不以互联网为基础的帐户;
  2. 您可能正使用一个不兼容S/MIME的客户程式,因而无法核实随附的签署。建议您将电子邮件客户程式升级为最新版本(如MicrosoftOutlook 98/2000)或使用另一个兼容S/MIME的邮寄程式(如MicrosoftOutlook Express 5或Netscape Messenger 4.7或上述程式)。

B-10 甚麽是安全接层(SSL)?

SSL交接规约由NetscapeCommunications Corporation开发,用於在互联网上提供安全和私隐保障。该规约支援伺服器和客户认证。SSL规约独立於应用程式存在,使HTTP(超文本传送规约)、FTP(文档传送规约)及Telnet等规约可以排列在SSL的最上层。SSL规约能够协调加密密码匙,并在数据被高级应用程式交换前认证伺服器。SSL规约透过使用加密、认证和对话方块密码匙保持传送渠道的安全和整体性。

B-11 如何发送经签署及加密的电子邮件?

双方若要交换经签署及加密的电子邮件,必须:

  1. 双方透过兼容S/MIME的电子邮件程式进行联络,及
  2. 双方都有数码证书。

若达到上述条件,讯息发送人可以用其邮寄程式中的"签署"及∕或"加密"选项签署和加密讯息。

B-12 怎样才能获得其他人的数码证书(内含公开密码匙),以向其发送加密电子邮件?

发送加密电子邮件的方法:

您应要求接收人发给您一封经签署的电子邮件,并将证书储存到您的地址登记簿内;或从香港邮政的联机电子核证储存库(目录)中按姓名或电子邮件地址查找数码证书,再下载接收人的电子核证证书。

B-13 如何读取收到的加密电子邮件?

如果电子邮件讯息已妥为加密(即用与私人密码匙相对应的公开密码匙加密),所加密的讯息将透过您的兼容S/MIME电子邮件应用程式为您自动解密(在您输入密码启动私人密码匙後)并向您显示普通文本。

B-14 如何核实所收到的签署讯息上的数码签署?

如果发送人已在签署讯息中包括其公开密码匙证书,讯息上的数码签署将透过您的兼容S/MIME电子邮件应用程式自动核实。在Netscape Messenger中,一个标明"经签署" 的安全图标将显示於讯息右上角。

B-15 我怎样才能知道收到的电子邮件是否被签署或加密?

对於Netscape Messenger用户:经安全处理的讯息的右上角有一个图标,表示该讯息已经过"签署"、"加密"或"签署及加密"。

B-16 是否可以向没有数码证书的人发送安全电子邮件?

不可以。若需将所要发送的电子邮件讯息加密,您需要取得接收人的公开密码匙。如果接收人没有数码证书,他∕她便没有公开密码匙。

但您可以向电子邮件应用程式支援S/MIME的接收人数码签署讯息。他们可以在讯息上核实您的签署。


C. 香港邮政电子核证服务

C-1 香港邮政电子核证支援汉字吗?

目前,香港邮政所采用的技术不支援汉字。因此,目前所有香港邮政电子核证证书祗能以英文发出。

C-2 香港邮政电子核证支援Elliptic Curve Cryptosystem (ECC)吗?

目前,香港邮政不支援EllipticCurve Cryptosystem (ECC)。

C-3 香港邮政电子核证支援object signing和Authenticode吗?

目前,香港邮政不支援object signing和Authenticode。

C-4 香港邮政电子证书密码匙长度是多少?

由2012年12月1日起,香港邮政核证机关只会簽发RSA密码匙长度为2048位元的电子证书(伺服器)。

由2014年1月1日起,香港邮政核证机关只会簽发RSA密码匙长度为2048位元的电子证书(个人)、电子证书(机构)及电子证书(保密)。

由2014年5月28日起,香港邮政核证机关只会簽发RSA密码匙长度为2048位元的智能身份证电子证书(个人)。

香港邮政核证机关会簽发RSA密码匙长度为2048位元的电子证书(机构职务)。

C-5 香港邮政电子核证证书国际通用吗?

香港邮政电子核证证书符合X.509第三版本标準(一项国际标準),因此可国际通用。

C-6 进入香港邮政核证机关网站有哪些系统需求?

本网站采用超文本标示语言HTML4.01标準建立网页。使用者可透过任何支援此标準的浏览器浏览这些网页。然而,网页的实际展示方式会因浏览器、电脑及操作系统不同而异。建议使用者,为互联网浏览器及操作系统安装最新版本的保安修补程式,以浏览本网站。

C-7 我是否可以在Hotmail或其他电子邮件服务上使用电子核证?

不可以。以互联网为基础的电子邮件服务(如Hotmail或Yahoo)不兼容S/MIME。详情请见课题S/MIME。

C-8 我的香港邮政电子核证证书届满后怎么办?

如果一份香港邮政电子核证证书届满,则不可再用来加密发送电子邮件。您应重新申请新的电子核证证书。

C-9 本人可申请多少份香港邮政电子核证证书?

您可随意决定。每人可申请的香港邮政电子核证证书数目未加限制。

C-10 一份香港邮政电子核证证书的费用是多少?

四种类型的香港邮政电子核证证书的登记费如下:
证书类型 每年费用(港元)
个人 50港元
机构 **150港元(首次登记人为50港元)
推广价:每份电子证书港币135元 (首次申请为45港元)
(每次申请加收行政费150港元)
伺服器〔不属于"通用版"和"多域版"〕 **2,500港元
推广价:每份电子证书港币2250元
伺服器"通用版" 8,700港元 + 每台附加伺服器500港元
伺服器"多域版" 3,000港元 + 每个额外伺服器名称2,500港元
保密 ** 150港元
推广价 : 21港元
(每次申请加收行政费150港元)
机构职务 150港元
(每次申请加收行政费150港元)

**2015年4月1日起,电子证书(机构)(非 "互认版") 及电子证书(伺服器)(非"通用版"或 "多域版")的登记费用会提供推广折扣优惠,直至另行通告为止。而由2012年4月1日起,电子证书(保密)的每年登记费用折扣优惠,将继续维持不变。欲知详情,请浏览有关公告

C-11 香港邮政电子核证证书的有效期为多长?

  • 香港邮政电子证书(个人)有效期为三年。
  • 香港邮政电子证书(机构)及(伺服器)〔不属于"通用版"和"多域版"〕 有效期为一年或两年。
  • 香港邮政电子证书(伺服器)"通用版"及电子证书(伺服器)"多域版"有效期为一年、两年或三年。
  • 香港邮政电子证书(保密)有效期为一年、两年、三年或四年。

C-12 我能否更改证书上的资料?

数码证书一经产生即不可更改。如果您更改了证书上的任何资料(如姓名或电子邮件地址),必须申请新的证书,同时亦应撤销现行证书。

C-13 香港邮政核证机关所支援的密码匙长度是多少?

由2014年5月28日起,香港邮政核证机关只会簽发2048位元RSA密码匙长度的智能身份证电子证书(个人)。若申请人要求申请智能身份证电子证书(个人),申请人必须持有可载入2048位元RSA密码匙长度的电子证书(个人)的智能身份证(详情请参阅"如何检查智能身份证的版本")。欲知详情,请浏览有关公告

由2014年1月1日起,香港邮政核证机关只会簽发RSA密码匙长度为2048位元的电子证书(个人)、电子证书(机构)及电子证书(保密)。详情请参阅香港邮政核证机关网站的公告

由2012年12月1日起,香港邮政核证机关只会簽发RSA密码匙长度为2048位元的电子证书(伺服器)。详情请参阅香港邮政核证机关网站的公告

C-14 香港邮政核证机关支援什么杂凑算法?

香港邮政核证机关只会签发SHA-1的智能身份证电子证书(个人)、电子证书(个人)、电子证书(机构)、电子证书(机构职务)及电子证书(保密)。

由2015年1月1日至2015年12月31日,香港邮政核证机关所签发的电子证书(伺服器)将预设为SHA-256,但登记人仍可提交书面要求签发有效期为一年的SHA-1电子证书(伺服器)。由2016年1月1日起,香港邮政核证机关只会签发SHA-256电子证书(伺服器)。详情请参阅香港邮政核证机关网站的公告

C-15 香港邮政核证机关签发的电子证书(伺服器)支援线上证书状态通讯规约 (OCSP) 吗?

香港邮政核证机关将分阶段落实签发支援线上证书状态通讯规约的电子证书(伺服器)。由2015年9月1日至2016年8月31日,香港邮政核证机关所签发的电子证书(伺服器)将预设为支援线上证书状态通讯规约,但登记人仍可提交书面要求签发有效期为一年的不支援线上证书状态通讯规约的电子证书(伺服器)。由2016年9月1日起,香港邮政核证机关只会签发支援线上证书状态通讯规约的电子证书(伺服器)。详情请参阅香港邮政核证机关网站的公告

C-16 为何浏览器首先须接受香港邮政根源核证机关的证书?

香港邮政根源核证机关证书非未预先安装于标准浏览器中。即您必须自行将香港邮政根源核证机关证书装载于自己的浏览器中。有了此份根源证书,香港邮政核证机关发出的证书才会有效。

C-17 我应在何处下载香港邮政根源证书?如何将其安装于浏览器中?

香港邮政根源证书可从"下载"标题进行下载。

C-18 如何重新获得已丢失或被意外删除的电子核证?

若丢失香港邮政电子核证证书,必须立即撤销自己的证书。万一您意外删除了自己的证书,您祗需从备存文档中调出证书即可。若没有备存文档,则须呈递一份新申请。

C-19 为何设置香港邮政电子核证证书备存文档十分重要?

若丢失自己的证书,且未设置备存文档,您将无法进入自己的所有旧加密讯息(因为您已不拥有用于解密该等讯息的私人密码匙)。因此,设置证书备存文档至关重要。

C-20 我是否可以将一个香港邮政电子核证证书用于多个电子邮件地址?

目前,几乎所有普通浏览器均不能在单个证书上认可多个电子邮件地址。因此,香港邮政核证机关采用每份证书对应一个电子邮件地址的政策。

C-21 香港邮政电子核证证书的认证程序是甚么?

认证程序详情请参阅香港邮政核证作业准则

C-22 为何香港邮政向未成年人发出数码证书?

这是香港邮政激发年青一代参加安全电子交易和通讯的措施。如果证书持有人在提交申请时仍未成年,证书上将显示"香港邮政电子证书(个人∕未成年)"字样。兹提醒倚据人士,未成年人不能合法订立合约,任何与未成年人进行的交易将来可能被判无效或作废。

C-23 可否从香港邮政伺服器目录中查阅保密证书?

当然可以。保密证书与其他由香港邮政签发的证书一样,会载入目录供公众查阅。

C-24 有关香港邮政电子核证证书使用条件的资料可以在哪里查阅得到?

全港邮政局的柜位均备有登记人协议及核证作业准则以供索阅,这两份文件详载电子核证证书使用条件的各项条文。香港邮政核证机关网页亦载有核证作业准则全文。

C-25 如收件人以同一电邮地址登记不止一张数码证书,如何以Netscape浏览器搜寻指定的一张?

你须透过Hongkong Post e-Cert Directory的目录,在搜寻根栏内输入多几个明确的字眼。举例来说,在搜寻根一栏输入"OU=0000920170,O=Hongkong Post e-Cert (Personal),C=HK",便可把搜寻范围局限于电子证书(个人)证书和SRN=0000920170之内。如需获取更多有关在Hongkong Post e-Cert Directory目录之下,设定较详尽搜寻根值的资料,请参阅有关用户指南

C-26 为甚么电子证书申请人必须亲往邮政局办理身分认证手续?

电子证书是确保顾客能够安全而稳妥地进行电子交易的数码证书。香港邮政有责任在处理证书申请时,妥为确认申请人的身分。因此,要求申请人亲往邮政局办理手续是保障申请人的必要措施,以便在签发电子证书前,面对面确认申请人的身份及向申请人派发密码信封。

C-27 可否在午饭时段﹑周末或周日到邮政局办理身分认证手续?

可以。邮政局午饭时段照常开放,个别分局(中环邮政总局及尖沙咀邮政局)亦于周末下午及周日上午九时至下午二时继续办公为市民服务。各邮政局办公时间,可于香港邮政核证机关网页查阅。

C-28 如在安装电子证书过程中遇到任何问题的话,可如何求助?

可致电电子证书热线29216633。

C-29 香港邮政将电子证书储存媒体邮寄给申请人的安排是否恰当?

香港邮政非常重视电子证书的保安问题。以邮寄方式发出电子证书储存媒体可免除申请人到邮政局多走一趟。为加强保安,电子证书储存媒体是以纪录派递的方式寄出,换言之,收件人必须亲自认收。此外,电子证书须配合个人密码,而这个密码已在申请人提出申请时交给申请人。

C-30 电子证书可否在运行Linux和Mac操作系统的电脑上使用?

各版本的Windows系统都支援使用电子证书。但Linux和Mac的用家则须要安装合适的嵌入软件,以使用电子证书。关于嵌入软件的资料,可向有关的Linux和Mac系统供应商查询。

C-31 电子证书(机构职务)和电子证书(机构)有什么分别?

电子证书(机构职务)和电子证书(机构)均是供登记人机构之成员或雇员使用。而电子证书(机构职务)额外的特点,是可包含登记人机构提供的授权用户的职衔或职位资料,同时,电子证书(机构职务)只可用于其登记人机构之指定系统。有关其他要点,请参阅电子证书(机构职务)《核证作业准则》附录D。

C-32 本机构适合使用电子证书(机构职务)还是电子证书(机构)?

电子证书(机构职务)可于登记人机构之公匙基建应用中作数码签署及加密与解密电子信息。此外,电子证书(机构职务)只可用于其登记人机构之指定系统。如机构有意申请电子证书(机构职务),请致电香港邮政核证机关热线2921 6633或电邮至enquiry@eCert.gov.hk查询。

C-33 电子证书(机构职务)和电子证书(机构)在申请程序上有什么分别?

电子证书(机构职务)和电子证书(机构)在申请程序上的主要分别在于,登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务),而申请使用电子证书(机构)仅由登记人机构自行判定。

C-34 为什么登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)?

电子证书(机构职务)只可用于其登记人机构之指定应用。所以,登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)。

C-35 电子证书上的「登记人机构名称」和「登记人机构分行/部门名称」的栏位长度最长是多少?

电子证书(机构职务)只可用于其登记人机构之指定应用。所以,登记人机构必须先与香港邮政核证机关作出安排,香港邮政核证机关才可以为登记人机构发出电子证书(机构职务)。

缩写列表
词汇 缩写
Branch Br.
Centre Ctr.
Committee Cmte.
Company Co.
Department Dept.
Hong Kong HK
Incorporated INC.
Limited Ltd.
Management Mgmt.
School Sch.

D. 电子证书(伺服器)提交证书签署要求(CSR)

D-1 甚么是证书签署要求(CSR)?

证书签署要求(CSR)是一个由您的伺服器所产生并包含你的机构资料和公开密码匙的要求。香港邮政核证机关会根据您的证书签署要求以发出您的电子证书(伺服器)。

D-2 如何发出证书签署要求(CSR)?

请参阅电子证书(伺服器)用户指南以了解base64编码和附合PKCS#10格式的证书签署要求(CSR)。请确保于「Common Name」一欄输入正确的登记域名(例如:www.example.com)及「Country」一欄输入「HK」。

D-3 在电子证书(伺服器)提交证书签署要求(CSR)过程中,我应该将甚么贴上Certificate Signing Request (CSR)的文字方格?

您应该将整个证书签署要求(CSR)的内容包括 "-----BEGIN NEW CERTIFICATE REQUEST-----" 及 "-----END NEW CERTIFICATE REQUEST-----" 贴上Certificate Signing Request (CSR)的文字方格。

D-4 如果我没有在提交证书签署要求(CSR)过程的最后步骤下载我的电子证书(伺服器),我应该怎样办?

成功完成提交证书签署要求(CSR)过程后,您可以从搜寻及下载证书网页下载您的电子证书(伺服器)。


E. 电子核证代制密码匙服务常见答问

E-1 何谓代制密码匙服务?如何运作?

香港邮政代登记人制作配对密码匙﹝包括私人密码匙及公开密码匙﹞及产生电子证书。整个过程会在香港邮政的设施内稳妥地进行,以确保配对密码匙及证书不会被篡改。配对密码匙及证书会以密码保护并存于电子证书储存媒体上。电子证书储存媒体会以挂号形式邮寄给登记人。登记人须以另外分发的密码开启电子证书储存媒体上的证书档案。

E-2 是否各种证书都可使用这项服务?

个人、机构及保密证书均可免费使用代制密码匙服务。如有意使用这项增值服务,请在递交香港邮政电子核证证书申请表时一并提出,并指定领取证书档案的方式。

E-3 有没有设定防护措施保护由代制密码匙服务产生的证书档案?

香港邮政代登记人製作的配对密码匙均经加密,在完成送递电子证书及私人密码匙给登记人後,密码匙会从香港邮政系统中删除。

E-4 有没有应用工具或程式可以更改电子证书档案的密码?

可以从香港邮政核证机关网页下载"更改电子证书档案密码程式",即可以方便快捷的方法更改上述档案的密码。软件下载後,只需进行简易安装程序,程式便可使用。

E-5 使用"更改电子证书档案密码程式"软件有没有甚麽限制?

"更改电子证书档案密码程式" 软件为香港邮政电子证书登记人而设。用户可免费使用此软件更改存于软磁碟或其他储存媒体上电子证书档案(PKCS#12格式)的密码。此软件只能在微软Windows XP / Vista / 7 / 8平平台操作。

E-6 "更改电子证书档案密码程式"软件如何操作?

"更改电子证书档案密码程式"软件适合在视窗操作平台操作,方便更改磁碟上电子证书档案的密码。密码更改成功後,该磁碟上的电子证书档案将嵌进新设定的密码。


F. 技术问题

F-1 系统要求

  • Pentium133或以上级数(或兼容),32MB RAM
  • Windows 95、Windows 98 或Windows NT。
  • Netscape Navigator 4.08 / Communicator 4.5(或以上) 或 Microsoft Internet Explorer5.01 配以 128位元高加密(或以上)
  • 硬碟空间:100MB

F-2 怎样才能知道自己的香港邮政电子核证证书是否已安装好?

若属Netscape用户:

  1. 打开Netscape浏览器;
  2. 按一下主工具栏中的保安图标(该图标类似一个挂锁);
  3. 自左侧菜单中选择Certificates>Yours。核实您的新电子核证是否已列入个人证书显示区域。
  4. 查看电子核证详细资料,选择(电子核证),再按一下"View"按钮。

F-3 个人辨识密码好象不起作用时怎麽办?

您必须正确输入个人辨识密码,确保:

  1. 个人辨识密码包括全部16位数字;
  2. 个人辨识密码前後或其间没有空格。

若仍有问题,请联络香港邮政核证机关查询热线29216633。

F-4 为何在下载证书後不久即收到"证书已届满"讯息?

此种情况发生的原因可能是个人电脑的系统时间慢於我们核证机关系统的系统时间。我们的核证机关系统使用全球定位系统(GPS)时钟戳印证书时间。为避免此种情况,您可稍等片刻或修改您的系统时钟

F-5 本人已删除自己的 Netscape Navigator,并已安装最新版本。我怎样重新安装自己的数码证书?

若您已清除旧版Netscape Navigator,那麽您亦已删除包含与您的电子证书有关的私人密码匙的文档。若没有私人密码匙或备存文档,您就不可能重新安装自己的电子证书。您需要申请一份新证书。

使用Netscape安装程式升级Navigator可以保留您的个人资料(包括电子证书及私人密码匙)。

F-6 如何判断自己是否连接到一个安全伺服器上?

进入由香港邮政电子证书(伺服器)证书加密的伺服器,用户可以在互联网Explorer浏览器下面或Netscape浏览器主工具栏上看到一个挂锁形图标,按一下此挂锁图标,即可浏览伺服器证书的详情。

F-7 怎样才能获得128位元∕全强度对话方块?

首先,人们所说的128位元或40位元连接通常指"对话方块密码匙"。这是一个对称密码匙,该密码匙在浏览器∕伺服器初次"对接"完成之後,当浏览器连接用来加密及解密数据(於伺服器之间传送)的伺服器时,由浏览器制造。

如果您的伺服器支援全强度对话方块,且连接於网站的浏览器支援128位元,即可制造及使用一个128位元对话方块密码匙。

美国出口的浏览器祗能制造40位元对话方块密码匙,但美国国内经销或美国以外公司生产的浏览器则能制造128位元对话方块密码匙,因而可连接到以类似方法生产或销售的全强度密码伺服器上。

在美国以外的国家,若干财务机构及政府机构可申请全球伺服器证书(有时称为Step-up伺服器证书)。若在伺服器上安装任何一份上述证书,即可保证用任何浏览器进行128位元连接,不论浏览器属於"出口"或"国产"类型。

F-8 我在自己的伺服器证书申请上应使用甚麽网域名称?

请慎重选择自己的网域名称。证书一经发出,即不可更改该项资料。网域名称应与安装证书的伺服器名称完全相同,当在伺服器上连接一个浏览器时,其网域名称将与证书上的网域名称相配。若不相配,浏览器将发出认证错误资讯。

F-9 保密证书内哪个字段控制一对密码匙的用途?

"密码匙用途" 的扩充字段规定一对密码匙的用途。香港邮政电子证书(保密)证书只设定成"保密密码匙"及 "数码签署" 位元。

F-10 电子证书(保密)证书的用途为何?

此类证书只可用作:

  1. 传送加密之电子信息予登记人机构;
  2. 容许登记人机构为信息解密;及
  3. 容许登记人机构发出认收信息并附加其数码签署以证实其登记人机构收件身分,藉此确认已收讫送出之加密信息。

此外,此类证书产生之数码签署只可用作认收电子信息,并只可用於与联机付款或联机投资无关或不相连或不会联机为任何人士或实体带来任何性质之财务利益之交易。不论任何情况,此等证书产生之数码签署均不得用作认收与洽商或订定合约或任何具法律效力之协议有关而传送之电子信息。

F-11 在Crypto Tools 软件内使用电子证书

已于2003年结业的i-Security Solutions Limited (iSSL)(该公司)所发行的Crypto Tools软件,已于该公司结业后停止发售及分发。如你仍使用该软件,以香港邮政电子证书作为数码签署及加密用途,你应注意:由于使用或分发该软件所引致的索偿,香港邮政概不接受、亦不承担任何责任。


G. 撤销证书

G-1 如何撤销香港邮政电子核证证书?

登记人可於任何时间以任何理由提出要求撤销其证书。

可使用下列方法提出撤销证书的要求:

  1. 透过传真27759130发出撤销证书的要求,该文件之正本需以邮寄方式交回。
  2. 发函至香港东九龙邮政局信箱68777号香港邮政核证机关。
  3. enquiry@eCert.gov.hk发送一份经数码签署的电子邮件。
  4. 亲自前往邮局签署一份撤销证书的要求(请使用原始申请表上的签署)。
  5. 如于网上提交电子证书(伺服器)的撤销证书要求, 需输入获授权代表的个人资料及于密码信封上的十六位密码,此密码信封于获授权代表提交申请表时亲身接收。

所有证书之暂时吊销或撤销仅在此等暂时吊销或撤销已被公布於证书撤销清单(Certificate Revocation List)後方告生效。

个人证书的要求

个人证书祗可由该证书的登记人撤销。

撤销机构证书的要求

机构证书可由下列人士撤销:

  1. 获指明为机构授权代表之人,且在申请时申请表上有其作为授权签署人的签署;
  2. 作为证书登记人在证书上列出其姓名之人。

撤销伺服器证书的要求

伺服器证书可由获指明为机构授权人士之人撤销,且在申请时申请表上有其作为授权签署人的签署。

撤销保密证书的要求

保密证书可由获指明为机构授权人士之人撤销,且在申请时申请表上有其作为授权签署人的签署。

向登记人∕授权代表发出确认书

根据传真撤销证书申请,香港邮政将在证书上设置"存留"以使暂时吊销生效,但并非撤销证书。此後,登记人须向香港邮政发出其原始撤销函,以完成撤销程序。亲自到场办理或数码签署的撤销要求会直接作为即时撤销处理,而毋须经过"存留"程序。收到撤销证书申请一周内,香港邮政将尽力向登记人发出撤销通知书。

办理撤销证书要求的营业时间

星期一至星期五 上午九时至下午五时

星期六 上午九时至中午十二时

星期日及公众假日 上午九时至中午十二时

若於任何工作日悬挂八级(或以上)热带气旋警报讯号或黑色暴雨警报讯号,且在当日早上六时或之前讯号除下,香港邮政核证机关将照常营业。若讯号在任何工作日 (星期六、日及公众假日除外)早上六时至上午十时之间或上午十时除下,香港邮政核证机关将於当日下午二时营业。

服务保证和证书撤销清单更新

  1. 香港邮政将作出合理努力,查看在(1) 香港邮政自登记人处收到撤销申请或 (2) 在无此申请之情况下,香港邮政决定暂停或撤销证书,两个工作日内,暂停或撤销证书及将撤销清单予以公布。
  2. 然而,证书撤销清单并不会於各证书撤销後随即在公众目录中公布。祗有在下一份证书撤销清单更新时一并公布,证书撤销清单介时才会显示该证书已撤销的状态。[证书撤销清单每日公布一次,并存档七年。]

为避免疑点,所有星期六、星期天、公众假日及悬挂热带风暴及暴雨警报信号的工作日均不计工作日。

G-2 为甚麽要在证书届满前撤销证书?

如果您怀疑自己的私人密码匙已外泄,或不愿再参加香港邮政公开密码匙基础建设,我们建议您撤销(取消)自己的证书。

G-3 如何核实已撤销证书的进展情况?

如欲查明已撤销的香港邮政电子核证证书的状况,可接达目录伺服器ldap1.eCert.gov.hk,查阅香港邮政核证机关证书撤销名单;名单上的资料会每日更新。由於目录伺服器的证书撤销名单只可以轻量级目录存取协定(LDAP)取读,查阅名单的人士须使用具LDAP功能的用户软件(如电子证书客户套件内的强码一号软件),方能取读资料。客户亦可前往香港邮政核证机关网页,接达一致性资源定址器URL: http://crl1.eCert.gov.hk/crl/eCertCA1-10CRL1.crl,取读证书撤销名单。客户如使用设有Internet Explorer 5.0或以上版本的微软视窗,在开启CRL档案时,荧幕会出现证书撤销名单,顺序详列各已撤销的证书。有关的证书可按序查找。另请注意,证书撤销名单不会载列已过期证书状况的资料。


H. 删除和恢复问题

H-1 如果我的硬碟出现故障,是否有办法恢复香港邮政电子核证证书?

硬碟故障可能会删除您电脑中的证书。证书一旦丢失,就无法重新获得。在这种情况下,您首先须撤销自己的证书,然後登记一份新证书。您也可以恢复自己的备存文档并将该文档加入自己的浏览器中。

H-2 如果电脑和证书同时失窃应该怎麽办?

由於您的数码证书受密码保护,一般情况下任何其他人都不可能假冒您使用您的数码证书。但如果您的电脑失窃,我们建议您应立即撤销自己的证书,然後登记一份新证书。

H-3 我是否应该删除已届满或已撤销的电子证书?

您不应该删除已届满或已撤销的电子证书。删除证书後,您将不能再进入与证书相关的公开密码匙,因此不再可能阅读以该证书加密的讯息。


I. 备存和转移证书

I-1 如何储存数码证书的备存文档?

每个浏览器有其自己的备存程序。对於Netscape用户:

  1. 按一下主工具栏中的安全图标(类似挂锁的图标),
  2. 从左侧目录中选择Certificates>Yours,
  3. 选择您要储存的电子核证证书并按一下输出,
  4. 系统将提示您选择传送密码,每当您输入或打开该电子核证文本时都要提供该密码。按一下确认,
  5. 选择您储存电子核证证书的位置(如您的磁碟)及档案名称。按一下储存,
  6. 以安全的方式保护您的磁碟或其他媒介和您的传送密码。

对於Internet Explorer用户:

  1. 在您的Internet Explorer浏览器画面,在目录中选择「工具」,然後选择「Internet选项」。
  2. 在「Internet选项」视窗内,按「内容」标签,然後选择「认证」按钮。
  3. 「凭证管理员」视窗便会出现。请选择「个人」标签并选取所要汇出之证书。然後按「汇出」键。
  4. 凭证管理员汇出精灵的画面随即出现。请阅读画面中所提供的资讯,然後按「下一步」按钮。
  5. 现在您必须指出您是否要将私密金钥(即私人保密匙)与您的证书一起汇出。选择「是的,汇出秘密金钥」,然後按「下一步」。您必须指定汇出之档案之格式。预设之格式为私人资讯交换(PersonalInformation Exchange) (PKCS#12)格式。
  6. 挑选「如果可能的话,在凭证路径中包含所有凭证」的选项。
  7. 如果您要将汇出的档案并非应用於Internet Explorer 5.0或以上版本,您要取消「启用加强保护(需要 IE 5.0、NT5.0或以上的版本)」的选项。
  8. 按「下一步」按钮。 在选择了汇出您的秘密金钥後,系统会提示您键入一个密码以保护该.PFX汇出档案。
  9. 键入一个长度不短於8个字符的密码(如需要您可选择一个新密码)用以保护该.PFX档案。然後按「下一步」按钮。 注: 密码用於保护将汇出之.PFX档案及应用於日後入该档案。为安全起见,请将该密码和.PFX档案分开保存。 您现在必须决定 .PFX档案存放位置。
  10. 在「档名」方框中键入存放位置及有意义的名称(例如c:\HKJCcert 或 a:\chantaiman) 按「下一步」。
  11. 在出现的「完成凭证管理员汇出精灵」视窗内,按「完成」按钮。
  12. 如您想汇出的密码匙是设定为高安全等级,以下的视窗会跳出要求您输入使用这密码匙的密码。请您现在输入密码,然後按「确定」。
  13. 按「确定」按钮。

I-2 如何将我的数码证书转移到另一台电脑?

转移电子核证证书的第一步是将证书从电脑硬碟储存("输出")到一张磁碟或其他转移媒介。您的电子证书成功输出後,您可以将其输入另一台新电脑。将电子证书输入Netscape Navigator的方法如下:

  1. 按一下主工具栏中的安全图标(类似挂锁的图标),
  2. 从左侧菜单中选择Certificates>Yours,
  3. 选择输入,
  4. 系统将提示您提供您用於保护电子核证证书的密码,
  5. 从备存电子证书的磁碟或其他媒介(应具备.p12引述)中找到您的电子证书。用滑鼠点中证书 并按一下打开,
  6. 输入自己的传送密码并按一下确认。

将电子证书输入 Internet Explorer 的方法如下:

  1. 汇入的程序与汇出十分相似。在您的Internet Explorer浏览器画面,选择目录中的「工具」栏,然後选择「Internet选项」。
  2. 在「Internet选项」视窗内,按「内容」标签,然後选择「认证」按钮。
  3. 在以下的「凭证管理员」视窗中,请选择「个人」标签,然後按「汇入」按钮。
  4. 在出现「凭证管理员汇入精灵」的画面後,阅读画面中所提供的资讯,然後按「下一步」按钮。
  5. 您现在需要选择要汇入的档案。按浏览按钮选择汇入的地点和档案名。若您想将证书由e-Cert代制密码匙或其他应用程式汇出的.P12副档名的PKCS#12证书档案汇入,您需要按下「浏览」按钮然後在「开启旧档」视窗中将档案类型改为「所有档案(*.*)」。然後选择所要的.P12档案。
  6. 请按下「下一步」按钮。系统然後提示您输入密码。此处必须使用汇出此.PFX档案时所设定的密码。 请选择「启用加强私密金钥保护」。如您想在今後可以汇出此证书及配对密码匙,请同时选择「将秘密金钥标示为可汇出的」。
  7. 键入密码然後按「下一步」按钮。
  8. 现在需为该档案选择存放的地方,请选择第一选项「自动根据凭证的类型来选择凭证存放区」。然後按「下一步」按钮。
  9. 画面出现「完成凭证管理员汇入精灵」视窗。按「完成」按钮。 「私密金钥容器」的视窗便会出现。微软 Internet Explorer将您的配对密码匙和电子核证证书之详情储存在私密金钥容器。因此以下几个步骤会要求您选择安全等级,及提供使用者名称及项目密码,储存以後作认明身份和存取许可之用。
  10. 按下「设定安全等级」键。
  11. 选择「高」安全等级(中级为预设值),按「下一步」键。
  12. 「私密金钥容器」视窗现要求一个密码以保护配对密码匙。 如果先前已经建立了任何项目密码,您可选择「使用这个密码来保护这个项目」,并从向下展开的表中选择适当的项目密码。如果您正在使用新安装的微软Internet Explorer,或者如果您在以前没有建立项目密码,请选择「为新项目建立密码」,并键入新项目的名称和密码。
  13. 按「完成」按钮。
  14. 再次键入刚选择或设定的私密金钥容器的项目密码,然後按「确定」按钮。
  15. 如这个PKCS#12档案内含有香港邮政电子核证根源证书,一个「主要凭证储存区」视窗会跳出要求您确定,请按「是」。如浏览器已安装香港邮政电子核证根源证书,以上视窗便不会出现。
  16. 按「确定」按钮。
  17. 按「结束」按钮关闭凭证管理员精灵。然後按「确定」按钮关闭「Internet选项」视窗。

附注:在删除旧证书和过渡档案前,请确保您已将证书成功输入另一台新电脑。


J.智能身份证电子证书 / 智能卡阅读器

J-1 什麽类型的智能卡阅读器可支援使用智能身份证内的电子证书?

支援使用智能身份证内电子证书的智能卡阅读器应具备以下特点:

必须具备的特点
特点 必须符合的规定
智能卡界面标准 ISO7816
附设软件 PC/SC驱动程式

 

建议具备的特点
除以上必备特点外,智能卡阅读器最好兼备以下特点:
特点 最好能符合的规定 附注
卡片接触类型 下落式接触 预期一张智能身份证可使用逾十年。由於下落式接触类型可给卡片提供较佳保护,所以是较理想的设计。
软件界面标准 Europay、MasterCard及Visa(EMV) EMV之所以较为可取,在於可支援日後在市场上可能出现的电子缴费功能。

请浏览网站(http://www.ogcio.gov.hk/sc/strategies/initiatives/smart_id/smart_id_card_reader_spec.htm)索取更多有关智能卡阅读器的资料。

J-2 我可以从哪里购买可支援智能身份证电子证书的智能卡阅读器?

你可于香港邮政的网上商店「乐满邮」订购适用的智能卡阅读器。

J-3 应怎样安装智能卡阅读器?

请依照智能卡阅读器包装内的安装指南进行安装。

J-4 智能卡阅读器会否对我的智能身份证造成损坏?

要减低对智能身份证(将使用长达十年之久)可能造成的损坏,建议选用下落接触式智能咭阅读器。

J-5 要安装智能卡阅读器,个人电脑的最低要求是什麽?

你的个人电脑需至少附设有通讯介面如USB连接埠或PCMCIA连接埠以连接智能卡阅读器,但实际要求须视乎你所选购的智能卡阅读器所指定的规格。

J-6 若智能身份证上的晶片被刮花,晶片内的电子证书会否受影响?

只要你能如常输入你的电子证书密码及使用智能身份证内的电子证书,已刮花的晶片将不会对你的电子证书造成任何影响。

若然你发觉不能读取智能身份证内的电子证书资料,智能身份证的晶片可能已损坏。你可向入境事务处申请更换领智能身份证。

J-7 若我的智能身份证已受损坏及不能读取电子证书资料,我应怎样做?

你可向香港邮政要求撤销你的电子证书

J-8 智能身份证可储存多少张电子证书?

每张智能身份证只可储存一份可即时使用的电子证书及其对应的配对密码匙。每次将新的电子证书载入智能身份证时,旧有的电子证书将会被取替。但其对应之私人密码匙将可继续储存在智能身份证上。每张智能身份证可储存最多三条旧有证书的私人密码匙。每张智能身份证可储存最多三条旧有证书的私人密码匙。被取替的电子证书﹝个人﹞可储存至电脑或其他储存媒体内。

J-9 若意外地删除智能身份证上的电子证书,应该怎样做?

当你申请电子证书﹝个人﹞并要求将电子证书载入智能身份证时,电子证书也会储存於你所选择的电子证书储存媒体内。若你意外地删除智能身份证上的电子證书,你可自行将储存在电子证书储存媒体内的电子证书载入你的智能身份证内

J-10 如没有智能卡阅读器,我可以於何处查阅智能身份证上的电子证书资料?

你可於附设智能卡阅读器的公共电脑查阅智能身份证上的电子证书资料。

J-11 智能身份证上的电子证书有效期是多久?

智能身份证上的电子证书(个人)有效期为3年,而登记使用期为一年。登记人需在每一年登记使用期届满前缴付年费,以便继续使用该电子证书。

J-12 若智能身份证上的电子证书过期,我应如何将旧有用已过期电子证书加密的电子邮件解密?

每张智能身份证可储存一张有效的电子证书(包括其相对应之配对密码匙)及3条已过期电子证书之存档私人密码匙。你可使用存档私人密码匙将旧有已过期电子证书加密的电子邮件解密。

J-13 我可以怎样删除智能身份证上的电子证书?

如你删除智能身份证上的电子证书,其对应的私人密码匙会一并删除。你可使用「e-Cert管理软件」及你的智能卡阅读器自行删除智能身份证上的电子证书及对应的私人密码匙。请注意:你将不能回复已从你的智能身份证内删除的电子证书及私人密码匙。

J-14 密码信封有什麽用途?为何密码信封上有两个不同长度的密码?

密码信封上包含两个不同长度的密码。你需要使用8位数字的密码方能使用智能身份证上的电子证书。而16位数字的密码是用作使用电子证书储存媒体上的证书(如磁碟、电子证书档案卡电子证书档案USB等)。

J-15 香港邮政核证机关在何时停止提供载入电子证书(个人)于智能身份证内及其相关服务?

由2018年7月30日起,香港邮政核证机关停止提供载入电子证书(个人)于智能身份证内及其相关服务。现时的智能身份证电子证书(个人)仍然可以继续使用至此电子证书登记使用期届满或该身份证被替换为止。如有疑问,请致电香港邮政核证机关客户服务电话2921 6633或电邮至enquiry@eCert.gov.hk查询。

J-16 若泄露其中一个密码,需要撤销证书吗?

若你决定无须撤销你的电子证书,你可立即更改你智能身份证及/或电子证书储存媒体上的电子证书密码。如你同时遗失你的智能身份证及/或电子证书储存媒体及电子证书密码,你应立即要求香港邮政撤销你的电子证书(撤销电子证书程序见问题22),以保障你的利益。

J-17 我的电子证书已载入智能身份证内。电子证书储存媒体有什麽用途?

基於保安理由,智能身份证上的电子证书不能抄录至其他储存媒体以作後备。一旦遗失或损毁智能身份证,智能身份证上的电子证书及其私匙将不可作出修复。所以,电子证书也会储存於申请人在申请表中所选择的电子证书储存媒体内(如电子 证书档案卡电子证书档案USB等)。若申请人的智能身份证遗失或损毁时,申请人仍可继续使用储存在电子证书储存媒体内的电子证书。

J-18 若我已拥有由香港邮政发出存於电子证书储存媒体上的电子证书,而我亦未曾申请将电子证书载入智能身份证内,我可否把这电子证书转移到智能身份证内?

若你亦未曾申请将电子证书载入智能身份证内,存于电子证书储存媒体上的电子证书不能载入智能身份证内。

J-19 什麽情形下需要撤销证书?

若遇上以下情形,你应向香港邮政核证机关要求撤销证书:

  1. 怀疑别人已持有你的智能身份证及电子证书密码;
  2. 怀疑别人已持有你的电子证书储存媒体及电子证书密码;
  3. 你的智能身份证或你的电子证书储存媒体已遗失。

J-20 我可否恢复已撤销之电子证书於智能身份证内?

一经撤销的电子证书将不能再恢复生效。你需重新申请新的电子证书使用。

J-21 撤销电子证书的收费如何?

使用香港邮政的撤销电子证书服务不须额外付费。

J-22 撤销证书有什麽步骤?

你可以透过以下其中一种方式申请撤销证书:

  1. 透过网页递交线上撤销电子证书表格
  2. 透过传真至27759130递交撤销电子证书表格;
  3. 透过邮寄方式邮寄申请表至东九龙邮政局信箱68777号;
  4. 报失身份证时将撤销电子证书表格直接投入设於人事登记处内的指定收集箱。

J-23 我如何防止其他人查取我的智能身份证电子证书资料?如我遗失智能身份证,我的个人资料会否泄漏给其他人?

你应该妥善保管你的智能身份证及不应泄露你的电子证书个人密码予任何人。若你遗失智能身份证而电子证书内的密码并未有其他人知道,其他人即使拾取你的智能身份证,亦不能查取电子证书上的资料。

J-24 我可否查取其他人的智能身份证的电子证书或私匙?

不可以,没有有关的私人电子证书密码是不可以查取其他人的智能身份证电子证书资料。

J-25 甚么是e-Cert管理软件Add-on Pack?我是否需要安装此Add-on Pack?

e-Cert管理软件Add-on Pack提供一个改良的PKCS#11模组配合智能身份证上的电子证书一起使用。因某些e-Cert应用程式可能运用了这个改良的PKCS#11模组,如您安装了e-Cert管理软件及Add-on Pack,您就可以享用更多的e-Cert应用程式。

若你未有安装e-Cert管理软件Add-on Pack(检查是否已安装e-Cert管理软件Add-on Pack的方法见问题27),你可以考虑按你的操作平台下载及安装现行版本的e-Cert管理软件。e-Cert管理软件Add-on Pack已包含在现行版本的e-Cert管理软件安装程式中。

J-26 从哪里可以获得e-Cert管理软件Add-on Pack?

e-Cert管理软件Add-on Pack包含在e-Cert管理软件安装程式中。您可以下载及执行e-Cert管理软件安装程式以安装e-Cert管理软件及Add-on Pack。

J-27 怎样才能知道已安装了e-Cert管理软件Add-on Pack?

e-Cert管理软件Add-on Pack已预设安装于最新版本的e-Cert管理软件中,及先前的版本2.1.8 Build 6或以上。

至于先前的版本2.1.6 Build 18,若已安装了e-Cert管理软件Add-on Pack,您可透过「开始 > 程式集 > Hongkong Post e-Cert > Add-on Pack 1 Readme」 捷径阅读Add-on Pack Readme。除此之外,您亦可从「控制台 > 新增/移除程式」的目前安装的程式中找到e-Cert管理软件Add-on Pack。

若您不清楚正在使用的e-Cert管理软件版本,请浏览检查「e-Cert管理软件」版本的提示。

J-28 e-Cert管理软件支援Netscape Navigator 版本9或以上吗﹖

由于Netscape自版本9开始在架构上的改变,此浏览器已不再兼容e-Cert管理软件。因此,e-Cert管理软件已停止支援版本9或以上的Netscape Navigator。或者你可选择使用Mozilla Firefox,详情请参阅有关Mozilla Firefox的用户指南

J-29 为甚么即使已安装适用于Windows Vista的e-Cert管理软件,仍未能透过Windows Vista上的Internet Explorer于某些网上服务使用智能身份证电子证书﹖

对于某些有Java Runtime Environment (JRE)系统要求的网上服务,在Windows Vista平台上的JRE (JRE 6 Update 10的之前版本)和Internet Explorer 7存在已知的界面问题,并可能影响透过e-Cert管理软件存取智能身份证电子证书。当你使用该些网上服务前,你须要安装JRE 6 Update 10或较新版本。如你于个别网上服务使用智能身份证电子证书时遇到问题,可向有关的服务供应商查询。

J-30 如果我在安装e-Cert管理软件过程中遇到错误讯息,我应该怎样办?

请致电客户服务热线2921 6633并提供有关错误讯息。

J-31 于2010年2月26日的中继证书更替对使用智能身份证电子证书的登记人带来什么影响?

在中继证书更替之后,电子证书(个人)之登记人需安装或更新e-Cert管理软件至版本2.1.8 Build 7或以上,以便继续使用由新的中继证书"Hongkong Post e-Cert CA 1 - 10"所签发的智能身份证上的电子证书。

J-32 最新版本的e-Cert管理软件支援什么应用程式?

请参阅e-Cert管理软件支援的应用程式

J-33 我已安装 e-Cert管理软件,及使用Windows UI 的 Internet Explorer,为甚麽未能於某些网上服务中使用智能身份證内的电子證书?

由於Windows UI 的 Internet Explorer 不支援外掛程式,因此,在使用某些网上服务时, Windows UI 的 Internet Explorer未能透过e-Cert管理软件读取智能身份證内的电子證书。如需要在网上服务中使用智能身份證内的电子證书,请切换到可支援外掛程式的Internet Explorer (传统型) 。

要切换至 Internet Explorer (传统型) ,可於Windows UI 的 Internet Explorer,从 [页面工具] 中选取 [在桌面上检视]。


K. 电子证书(个人)续期

K-1 为什么电子证书(个人)用户在证书三年有效期届满时没有收到电邮续期通知?

如果用户没有提供电邮地址或更改电邮地址时没有通知香港邮政核证机关,则香港邮政核证机关没法透过电邮通知用户。用户可致电客户服务热线29216633或发电邮至enquiry@eCert.gov.hk查询。

K-2 延长登记使用期与证书续期有甚么分别?

「延长登记使用期」---- 电子证书(个人)用户在证书三年有效期内,于证书每年登记使用期届满前,需要缴付年费HK$50,以延长登记使用期。否则,香港邮政会撤销该电子证书使其终止有效。根据电子交易条例的规定,香港邮政会将已撤销电子证书的序号载入「证书撤销清单」内,并于香港邮政核证机关网页内公布。用户于延长登记使用期后,仍可继续使用载于智能身份证或电子证书储存媒体内的电子证书。用户将不会获发新密码封套及电子证书储存媒体。

「证书续期」---- 每张电子证书(个人)的有效期为三年,用户在证书三年有效期届满前,需要办理续期申请并缴付年费HK$50。用户将获发新的密码封套及已续期的电子证书於用户所选择的电子证书储存媒体内

K-3 用户该如何办理续期?可透过甚么途径?

用户可透过网上或亲临邮局办理续期申请。但续期方法会因个别用户需要而有所分别,详情请参阅有关「电子证书续期」的网页。

K-4 续期的电子证书(个人)的有效年期为多少?收费如何?

续期的电子证书(个人)有效年期为三年,登记使用期为一年。登记人需在每一年缴付年费及电子证书储存媒体费用(如适用)。现行的证书续期费用及电子证书储存媒体费用已载於香港邮政网站

K-5 我可否一次过缴付三年登记使用期的费用?

不可。暂时登记使用期的费用需逐年缴交。

K-6 电子证书(个人)用户续期时会否获得新密码信封?

用户续期电子证书时会获派发新密码信封。

K-7 电子证书获续期後,收到了新的密码信封及电子证书储存媒体,是否可以弃掉旧有电子证书的密码及电子证书储存媒体?

用户需保存续期前的密码信封及电子证书储存媒体,以便使用续期前的电子证书。新的密码信封会适用于储存在已续期的电子证书储存媒体。

K-8 续期的电子证书载入智能身份证后,它与旧有智能身份证电子证书是否并存于智能身份证内?

每张智能身份证只可储存一张证书及其对应的配对密码匙。每次将新的电子证书载入智能身份证时,旧有的电子证书将会被取替,但配对密码匙则获保留。

K-9 电子证书(个人)用户可否于智能身份证电子证书有效期届满后,自行把另一载于电子证书储存媒体内的电子证书(个人)重新载入智能身份证内?

可以。详情请参阅有关「怎样把电子证书载入智能身份证」的网页。

K-10 用户可循哪些途径查询有关电子证书事宜?

用户可致电客户服务热线29216633、透过电邮至 enquiry@eCert.gov.hk 或亲临任何一间邮局查询有关电子证书事宜。


L. 电子证书档案卡

L-1 我如何使用储存于电子证书档案卡上的电子证书?

你可以从香港邮政核证机关网页下载电子证书档案卡公用程式后,用适合智能身份证的智能卡阅读器阅取电子证书档案卡上的电子证书。如需要购买智能卡阅读器,可以到香港邮政的网上商店「乐满邮」选购合适的智能卡阅读器。如要使用储存于电子证书档案卡上的电子证书,你需要汇出你的电子证书到所拣选的储存媒体(例如USB储存装置或其他可移动储存媒体)。详情可参阅我们有关电子证书档案卡公用程式的用户指南网页。

L-2 我可否更改存于电子证书档案卡上的电子证书密码?

可以。你可以从香港邮政核证机关网页下载电子证书档案卡公用程式,便能够方便快捷地更改电子证书档案卡上的电子证书密码。如有需要更改已储存在其他储存媒体(例如USB储存装置或其他可移动储存媒体)的电子证书密码,你可以从香港邮政核证机关网页下载更改电子证书档案密码程式。详情可参阅我们有关电子证书档案卡公用程式的用户指南

L-3 我如何将电子证书档案卡上的电子证书载入到我的智能身份证上面?

如果你的智能身份证上已载有电子证书,你可以依照下列步骤将你的电子证书从电子证书档案卡汇出至智能身份证上:

  1. 从香港邮政核证机关网页下载电子证书档案卡公用程式,然后汇出你的电子证书到所拣选的储存媒体(例如USB储存装置或其他可移动储存媒体)。
  2. 完成后,你可以从香港邮政核证机关网页下载电子证书管理软件来载入你的电子证书到智能身份证上。详情可参阅我们有关电子证书管理软件的用户指南

如有查询,请致电客户服务热线2921 6633。

L-4 我可否移除存放于电子证书档案卡内的电子证书?

不可以。 用户不可篡改电子证书档案卡上的任何资料。

L-5 我可否将存放于电脑上的电子证书复制至电子证书档案卡内?

不可以。 用户不可篡改电子证书档案卡上的任何资料。

L-6 若我的电子证书档案卡已损坏,不能读取电子证书资料,而我亦没有其他备份,我应怎样做?

你可经香港邮政核证机关网页要求撤销你的电子证书,然后重新申请新的电子证书。你须要支付表格上定明的年费。

L-7 我从电子证书档案卡汇出电子证书后,还要保存电子证书档案卡吗?

需要。我们建议你将电子证书从电子证书档案卡汇出到其他的储存媒体后,把电子证书档案卡收藏好。日后一旦遗失了在其他的储存媒体的电子证书,你还可以再次从电子证书档案卡汇出你的电子证书到新的储存媒体。

L-8 如果忘记了电子证书档案卡上电子证书的密码,我应该怎样办?

若你遗失了你的电子证书密码,我们建议你撤销你的电子证书,然后重新申请新的电子证书。你须要支付表格上定明的年费。

L-9 如果遗失了电子证书档案卡,我应该怎样办?

基于保安理由,我们建议你撤销你的电子证书,然后重新申请新的电子证书。你须要支付表格上定明的年费。

L-10 香港邮政核证机关在何时停止使用电子证书档案卡作为电子证书储存媒体?

由2019年2月1日起,香港邮政核证机关停止使用电子证书档案卡作为电子证书储存媒体。现时的电子证书档案卡仍然可以继续使用至此电子证书登记使用期届满。如有疑问,请致电香港邮政核证机关客户服务电话2921 6633或电邮至enquiry@eCert.gov.hk查询。

L-11 什么是电子证书档案卡公用程式?

电子证书档案卡公用程式是一套专门管理电子证书档案卡上电子证书的软件,用以汇出电子证书档案卡内的电子证书至储存媒体﹝如USB储存装置或其他可移动储存媒体﹞及更改电子证书档案卡上的电子证书密码。此程式适用于运行Windows XP或以上的电脑。

L-12 我可以如何使用电子证书档案卡公用程式?

请参阅香港邮政核证机关网页内的电子证书档案卡公用程式安装及用户指南。如有查询,请致电客户服务热线2921 6633。

L-13 电子证书档案卡需要具备什么条件去运作?

电子证书档案卡需要配合阅读器及能在Windows XP或以上作业系统运行的电子证书档案卡公用程式

L-14 我可以用哪种阅读器来读取电子证书档案卡上的电子证书?

你可使用同一个能读取智能身份证的阅读器来阅读电子证书档案卡上的电子证书。智能卡阅读器应支援PC/SC驱动程式及符合智能卡界面标准ISO 7816规格。你可以浏览香港邮政的网上商店「乐满邮」选购合适的阅读器。


M. 电子证书档案USB

M-1 什么是电子证书档案USB?

电子证书档案USB是一款如信用卡大小的USB快闪记忆储存媒体,是用来储存香港邮政电子证书的储存媒体,透过电脑的USB连接埠,可容易地读取储存在内的电子证书。

M-2 电子证书档案USB的主要好处是什么?

电子证书档案USB的主要优点,是用户可透过电脑的USB连接埠直接读取储存在内的电子证书,而无需安装驱动程式,及无需要额外的设备,如智能卡阅读器或软磁碟机等。

M-3 我需要支付电子证书档案USB的费用吗?

电子证书申请人在申请电子证书时,可选择以每件港币40元的电子证书档案USB作为电子证书储存媒体。

M-4 软磁碟在何时不再是电子證书储存媒体的其中一个选择?

香港邮政核證机关已由2013年4月1日起停止使用软磁碟作为电子證书储存媒体。

M-5 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书档案USB内的电子证书?

我们建议您可联络您的资讯科技支援团队,寻求他们的意见和协助。

M-6 电子证书档案USB与电子证书档案卡有什么区别?

电子证书档案卡是一种智能卡,需要一个智能卡阅读器来读取储存在内的电子证书。电子证书档案USB是一般的USB快闪记忆储存媒体,可透过电脑的USB连接埠直接读取储存在内的电子证书,而无需要额外的设备。

M-7 我申请电子证书时没有选择电子证书档案USB。在收到我的电子证书后,我可以选购电子证书档案USB吗?

不能。


N. 电子证书Token

N-1 什么是电子证书Token?

电子证书Token是一种PKCS#11加密储存媒体,是香港邮政电子证书(个人)/电子证书(机构)"互认版"的储存媒体。用户可透过电脑的USB连接埠直接读取储存在内的电子证书。

N-2 那一种类的香港邮政电子证书采用电子证书Token作为储存媒体?

电子证书(个人)"互认版"及电子证书(机构)"互认版"只可储存在电子证书Token (e-Cert Token),而每份电子证书必须独立存放于电子证书Token。

电子证书Token 每件为港币290 元。

N-3 电子证书Token和智能身份证有什么不同之处?

用户可透过电脑的USB连接埠直接读取储存在电子证书Token内的电子证书,而无需要额外的设备。而智能身份证则需要一个智能卡阅读器来读取储存在内的电子证书。

N-4 电子证书Token和电子证书档案USB有什么不同之处?

电子证书Token是一种便携式PKCS#11加密储存媒体,所储存的电子证书不能被汇出到其他的储存媒体上。电子证书档案USB是一款如信用卡大小的USB快闪记忆储存媒体,是用来储存香港邮政电子证书的储存媒体。电子证书档案USB上的电子证书可以被汇出到其他的储存媒体上。

N-5 怎样读取储存在电子证书Token或智能身份证内的电子证书(个人)"互认版"电子证书?

用户可透过电脑的USB连接埠直接读取储存在电子证书Token内的电子证书,而无需要额外的设备。而智能身份证则需要一个智能卡阅读器来读取储存在内的电子证书。

N-6 由于安全的理由,我的办公室的电脑USB连接埠被禁用,我怎么能读取我的电子证书Token内的电子证书?

我们建议您可联络您的资讯科技支援团队,寻求他们的意见和协助。

N-7 我可否更改存于电子证书Token的密码?

可以。你可以使用"SafeNet Athentication Client"软件来更改电子证书Token的密码。请参阅电子证书Token附带的程式套装。另可参阅相关用户指南以获得更多信息。

同时,请你小心保管你的电子证书Token的密码,香港邮政核证机关将不会保留你的电子证书Token的密码。密码一旦丢失或忘记,基于保安理由,我们建议你撤销你的电子证书,然后重新申请新的电子证书。。你须要缴交表格上定明的年费。

N-8 若我的电子证书Token已损坏,不能读取电子证书资料,我应怎样做?

你可经香港邮政核证机关网页要求撤销你的电子证书,然后重新申请新的电子证书。你须要缴交表格上定明的年费。

N-9 如果遗失了电子证书Token,我应该怎样办?

基于保安理由,我们建议你撤销你的电子证书,然后重新申请新的电子证书。你须要缴交表格上定明的年费。


O. 电子证书(个人)"互认版"及电子证书(机构)"互认版"

O-1 电子证书(个人)"互认版"和 电子证书(机构)"互认版",有何好处?

电子证书(个人)"互认版"和 电子证书(机构)"互认版"已被香港邮政指定参与《粤港两地电子签名证书互认办法》下的证书互认计划。证书获AdobeR信任,适用于PDF文件签署。

香港邮政已指定电子证书(个人)"互认版" 及电子证书(机构)"互认版" 参与《粤港两地电子签名证书互认办法》下的证书互认计划。有关具互认资格的特定证书类别及这些证书类别的互认识别方法,请参阅广东省经济和信息化委员会发布的官方信任列表,以确定证书类别是否具互认资格及其有效期。政府资讯科技总监办公室亦会在其信任列表备存有关资料的副本,以供参考。

O-2 我已拥有电子证书(个人)/电子证书(机构),现在想转用电子证书(个人)"互认版"/ 电子证书(机构)"互认版",应如何申请?

可以填写(个人)"互认版"/ 电子证书(机构)"互认版"的申请表,到邮政局办理手续及缴交费用即可完成申请。而原有的电子证书(个人)/电子证书(机构)可继续使用至有效期完结,届时亦可选择申请绩期。

O-3 电子证书(个人)"互认版"/ 电子证书(机构)"互认版"可提供的储存媒体是什么?

电子证书(个人)"互认版"及电子证书(机构)"互认版"只可储存在电子证书Token (e-Cert Token)。而每份电子证书必须独立存放于电子证书Token。

O-4 可以选择将电子证书(个人)"互认版"/ 电子证书(机构)"互认版"储存在电子证书档案USB或电子证书档案卡吗?

不能。

O-5 如果忘记了我的电子证书(个人)/ 电子证书(机构)"互认版"的密码,我应该怎样办?

你可经香港邮政核证机关网页要求撤销你的电子证书,然后重新申请新的电子证书。你须要缴交表格上定明的年费。


P. 电子证书(机构)"具自动交换资料功能"

P-1 我已拥有电子证书(机构),现在想转用电子证书(机构)"具自动交换资料功能" ,应如何申请?

如现时的电子证书(机构)登记人欲在证书上增加具自动交换资料功能 ,须在证书续期时填妥电子证书(机构)"具自动交换资料功能"附加申请表格及电子证书(机构)续期表格,并附上有关的文件,到邮政局办理手续及缴交费用即可完成申请。

P-2我拥有的电子证书(机构)仍然现行有效,但未增加"具自动交换资料功能",我能否使用该电子证书登入我在税务局「自动交换财务帐户资料网站」/ 「国别报告网站」的账户?

你需要申请电子证书(机构)"具自动交换资料功能"来登入税务局「自动交换财务帐户资料网站」/ 「国别报告网站」的账户。

P-3如果我的机构没有商业登记证,能否申请电子证书(机构)"具自动交换资料功能"?

如申报财务机构没有商业登记证,但需要申请电子证书(机构)"具自动交换资料功能"来登入税务局「自动交换财务帐户资料网站」/「国别报告网站」的账户,该机构须提交由税务局发出的证明文件副本来代替商业登记证以申请电子证书(机构)"具自动交换资料功能"。


Q. 电子证书(伺服器)

Q-1 在申请电子证书(伺服器)时,应申请那一项电子证书(伺服器)?

申请人可因应个别的需要,选择所需的电子证书(伺服器),以下例子可供参考:

  1. 电子证书(伺服器)"通用版":申请人拥有多个同一域名的伺服器名称。 例如发出予 *.eCert.gov.hk 的电子证书(伺服器)"通用版",可用于以下所有伺服器名称:
    • www.eCert.gov.hk
    • eCert.gov.hk
    • mail.eCert.gov.hk
    • www1.eCert.gov.hk
  2. 电子证书(伺服器)"多域版":申请人拥有多个不同域名的伺服器名称。 例如一份电子证书(伺服器)"多域版"可识别以下不同域名的伺服器名称:
    • www.eCert.gov.hk
    • eCert.gov.hk
    • www.e-Cert.gov.hk
    • www.eCert.hk
  3. 电子证书(伺服器)〔不属于"通用版"和"多域版"〕:只能识别一个伺服器名称。适合只有一个或少量伺服器。例如:
    • www.eCert.gov.hk

Q-2 安装SHA-256电子证书(伺服器)有何最低要求?

在常用的平台及应用上安装SHA-256电子证书(伺服器)的最低配置要求如下:
系统平台/应用 最低配置
Windows Server 2003 SP2 + KB 938397
Apache Server 依据OpenSSL 的版本.(0.9.8o或以上)
Microsoft Exchange Server 依据Windows Server 的版本
IBM Domino Server 9.x 连同修复包
IBM HTTP Server 8.5 (附带Domino 9)
Oracle Weblogic 10.3.1或以上版本

Q-3 在申请各类电子证书(伺服器)时,伺服器名称有何限制?

  1. 电子证书(伺服器)〔不属于"通用版"和"多域版"〕:只可登记一个伺服器名称,并且不可有通配符("*")。
  2. 电子证书(伺服器)"通用版":只可登记一个伺服器名称,及伺服器名称的最左边部份指定为通配符("*")。
  3. 电子证书(伺服器)"多域版":可登记多至50个伺服器名称,及伺服器名称不可有通配符("*")。

注意:所有登记的伺服器名称,必须为申请人机构所拥有。

Q-4 电子证书(伺服器)"通用版"及"多域版",有何好处?

电子證书(伺服器)"通用版"及"多域版",有以下的好处:

  • 电子证书(伺服器)"通用版"可用于登记人机构所拥有的同一域名或子域名的所有伺服器名称。
  • 电子证书(伺服器)"多域版"可用于多至50个由登记人机构所拥有的伺服器名称,伺服器名称更可属于登记人机构所拥有的不同域名。
  • 证书附有"数码签署"密码匙使用方法,可用于伺服器验证及与伺服器建立安全通讯通道。

因此,若申请人拥有多个同一域名或多个不同域名的伺服器名称,电子证书(伺服器)"通用版"或"多域版"可更有效管理及更方便使用。

Q-5 如何上载电子证书(伺服器)"通用版"及"多域版"之「证书签署要求」(Certificate Signing Request, "CSR")?其步骤与电子证书(伺服器)之「证书签署要求」步骤是否不同?

电子证书(伺服器)"通用版"及"多域版"之「证书签署要求」步骤和电子证书(伺服器)之「证书签署要求」步骤相同,你只须要为每份所申请的证书上载一次「证书签署要求」,不论你为电子证书(伺服器)"通用版"申请多少个"附加伺服器"或者为电子证书(伺服器)"多域版"申请多少个"额外伺服器名称",及你只需要在「证书签署要求」输入用作电子证书主体名称的伺服器名称,而不需要输入任何"额外伺服器名称",在签发证书时系统会自动加入所申请的"额外伺服器名称"。有关「证书签署要求」的详情,请参阅电子证书(伺服器)用户指南

Q-6 电子证书(伺服器)"通用版"和"多域版"可用于多个伺服器上,那么会签发多少份证书给申请人?

所申请的每一份电子证书(伺服器)"通用版"或"多域版",均只会有一份电子证书签发给申请人,申请人可自行复制证书,用于所申请的相关伺服器上。

Q-7 可否申请一份电子证书(伺服器)同时具备"通用版"及"多域版"之特点?

不可以。一份电子证书(伺服器)只可具备"通用版"或"多域版"之其中一个特点。如申请人需要"通用版"及"多域版"之特点,可为相关伺服器申请两份电子证书(伺服器):一份"通用版"及一份"多域版"。

Q-8 在"搜寻及下载电子证书(伺服器)"的应用程式中,应使用哪一个伺服器名称来搜寻电子证书(伺服器)"通用版"或"多域版"的证书?

在搜寻电子证书(伺服器)"通用版"的证书时,你可以搜寻带有或不带有通配符("*")部份的伺服器名称。例如:若想搜寻发出予 *.eCert.gov.hk 的电子证书(伺服器)"通用版",你可以搜寻 *.eCert.gov.hk 或 eCert.gov.hk 来搜寻及下载相关的电子证书(伺服器)"通用版"之证书。在搜寻电子证书(伺服器)"多域版"的证书时,你可以搜寻证书内所载的任何一个伺服器名称,包括用作电子证书主体名称的伺服器名称或证书主体别名内的任何一个额外伺服器名称,以搜寻及下载相关的电子证书(伺服器)"多域版"之证书。

Q-9 可否用IP地址(互联网规约地址)代替伺服器名称以申请电子证书(伺服器)?

所有电子证书(伺服器)均不接受IP地址作为伺服器名称。

Q-10 如何计算电子证书(伺服器)"通用版"之"附加伺服器数量"?

每份电子证书(伺服器)"通用版"的登记费己包含证书在一台伺服器(预设伺服器)上使用之登记费。如证书需安装在其他运作于预设伺服器操作系统以外之实体伺服器或虚拟伺服器上使用,则每个这样的实体伺服器或虚拟伺服器便需要缴付相关登记费。

例子一:

电子证书(伺服器)"通用版"安装在一台主要伺服器及一台备用伺服器上:总共安装电子证书(伺服器)"通用版"之伺服器为两台,而"附加伺服器"为一台。

例子二:

电子证书(伺服器)"通用版"安装在一台实体伺服器及两台虚拟伺服器上,而每台伺服器皆运作其个别的操作系统:总共安装电子证书(伺服器)"通用版"之伺服器为三台,而"附加伺服器"为两台。

Q-11 在申请电子证书(伺服器)"通用版"时,已登记附加伺服器数量,若在证书发出后,附加伺服器数量有所改变,应怎么办?

若附加伺服器数量有所增加,而证书仍在有效期内,申请人可以填写申请表以增加附加伺服器数量,并只需缴付新增加的附加伺服器数量的相关费用。无论证书于何时在新增加的附加伺服器上使用,每台新增加的附加伺服器所需缴付的登记费必须覆盖其电子证书整个有效期。而在证书续期时,便要填写附加伺服器所需的总数量,并缴付电子证书续期费用,及附加伺服器总数的相关登记费。

若附加伺服器数量有所减少,登记人只可在证书续期时,更改所需的附加伺服器数量,并缴付电子证书续期费用,及附加伺服器总数的相关登记费。

已缴付的登记费用,并不会因登记人已减少附加伺服器数量,而有所退款。

Q-12 申请电子证书(伺服器)"通用版"时,伺服器名称可否带有多于一个通配符("*")?

不可以。一份电子证书(伺服器)"通用版"只可接受在伺服器名称的完整格式网域名称的最左边部份带有一个通配符("*")。

Q-13 电子证书(伺服器)"多域版"证书签发后,可否增加/减少/更改其伺服器名称?

不可以。电子证书(伺服器)"多域版"一经签发,证书内所有伺服器名称均不可更改。登记人可考虑申请另外一份的电子证书(伺服器),以应新的需要。

Q-14 可否只撤销电子证书(伺服器)"多域版"的其中部份而非全部伺服器名称?

电子证书(伺服器)"多域版"不接受只撤销其中部份而非全部伺服器名称。电子证书(伺服器)"多域版"一旦被撤销,证书内之所有伺服器名称都会被撤销及失效。

Q-15 甚么是核证机关授权记录?

按照RFC6844文件所规定,核证机关授权记录使得域名拥有者可以指定一个或多个认可的核证机关为该域名发出数码证书。

Q-16 香港邮政如何在发出证书前检查核证机关授权记录?

香港邮政会对列于证书上的域名进行核证机关授权记录的检查。若核证机关授权记录存在,但记录并未将香港邮政之域名 "eCert.gov.hk" 或 "hongkongpost.gov.hk" 列入为获授权证书发出人的域名,则其证书申请将不会被继续处理。若列于证书上的域名并没有核证机关授权记录,且网域认可检查没有出现警告或错误信息,则香港邮政认为申请人同意让香港邮政为其域名发出数码证书。

Q-17 如何设定核证机关授权记录来指定香港邮政为我的域名发出数码证书?

你需要检查你的域名系统是否已设定核证机关授权记录,如没有设定核证机关授权记录,且网域认可检查没有出现警告或错误信息,则任何核证机关包括香港邮政可以为你的域名发出数码证书。若你的域名系统已设定核证机关授权记录,则你需要检查并加入下列的核证机关授权记录以指定香港邮政为你的域名发出数码证书(以example.com为例):

example.com.  CAA 0  issue  "eCert.gov.hk"
example.com.  CAA 0  issue  "hongkongpost.gov.hk"

R. 银行证书(个人/机构/银行)

R-1 甚么是核证登记银行?

核证登记银行是指依据香港法律第155章之银行条例持有有效牌照的银行,并已经在香港邮政核证机关登记成为银行证书(银行)的登记人。核证登记银行是银行证书(个人)或银行证书(机构)申请人和登记人的代理人。

R-2 如何申请银行证书(银行)?

任何欲登记该服务之香港的持牌银行需与香港邮政核证机关作出预先安排,香港邮政核证机关才可以为已登记之 持牌银行发出银行证书(银行)。有意申请银行证书(银行)的香港持牌银行,可致电香港邮政核证机关热线2921 6633或 电邮至enquiry@eCert.gov.hk了解更多详情。

R-3 如何申请银行证书(个人) /银行证书(机构)?

有兴趣的申请人可直接向有关核证登记银行查询详情。

R-4 2015年12月发出的新版银行证书(个人)/银行证书(机构)与2010年3月前发出的银行证书(个人)/银行证书(机构)有何不同?

银行证书(个人)及银行证书(机构)只能用于列载于银行证书《核证作业准则》附錄 E 中该核证登记银行名称相对应的指明的交易。

由2010年3月31日开始,香港邮政核证机关已终止所有旧版银行证书之核证登记机关运作,并停止发出旧版银行证书。

R-5 香港邮政银行证书密码匙长度是多少?

香港邮政核证机关会签发RSA密码匙长度为2048位元的银行证书(个人)/银行证书(机构)/银行证书(银行)。

R-6 本人可申请多少份香港邮政银行证书(个人)/银行证书(机构)?

香港邮政没有限制个人或机构申请银行证书的数量,或个人或机构透过核证登记银行申请银行证书的数量。然而,有关核证登记银行本身或有限制在其申请银行证书的数量。

R-7 香港邮政银行证书的有效期为多长?

银行证书(个人)/银行证书(机构)/银行证书(银行)之有效期由1至5年不等。

R-8 我能否更改证书上的资料?

银行证书一经产生即不可更改。如果您更改了证书上的任何资料(如姓名或电子邮件地址),必须申请新的证书,同时亦应撤销现行证书。详情请向核证登记银行查询。

R-9 香港邮政核证机关支援什么杂凑算法?

香港邮政核证机关所签发的银行证书(个人)/银行证书(机构)/银行证书(银行)将预设为SHA-256。

R-10 银行证书与其他电子证书在功能上有何不同?

香港邮政核证机关透过核证登记银行签发之银行证书(个人)/银行证书(机构)只是给登记人用于列载于银行证书《核证作业准则》附錄 E 中该核证登记银行名称相对应的指明的交易。

R-11 如何撤销香港邮政银行证书?

银行证书(个人)/银行证书(机构)撤销要求

可透过传真、邮寄信件、电子邮件或亲身前往核证登记银行的方式提出撤销证书要求以及随后的最后确认,方式取决于所聯系之核证登记银行能接纳的方式而定。核证登记银行会将撤销证书要求转递给香港邮政。

银行证书(银行)撤销要求

关于撤销银行证书(银行)的申请,银行证书(银行)之核证登记银行的获授权代表须提前至少一个月透过传真、邮寄信件、电子邮件或亲身向香港邮政核证机关提出撤销证书之要求以及随后的最终确认。

S. 香港邮政根源证书 (Root CA 1) 更替

S-1 为什需要更替根源证书 "Hongkong Post Root CA 1"?

根源证书 "Hongkong Post Root CA 1" 有效期为二十年(2003年5月15日- 2023年5月15日),他的私人密码匙用作签发中继证书,此等中继证书用于签发香港邮政电子证书。由于香港邮政电子证书的最长有效期为4年,为可持续签发长达4年有效期的电子证书,香港邮政核证机关需要在现有根源证书到期前更替新的根源证书。新的根源证书必须在现行证书有效期届满4年前开始运作,以能使其中继证书继续签发长达4年的证书。

S-2 根源证书更替后的证书签发及撤销的安排会是怎样?

现有的根源证书Root CA1及其中继证书会分别停止签发新中继证书及新电子证书,新根源证书Root CA2及Root CA3会用作签发新的中继证书及新的电子证书。而现时根源证书拥有之中继证书,将会继续撤销其所签发的证书及产生其各自的证书撤销清单(CRL),直到其有效期届满为止。

S-3 根源证书的替换对电子证书登记人有什么影响?

即使根源证书更替后,登记人仍可继续持有及使用根源证书更替前所签发的认可证书,直至其使用期届满。

根源证书更替后,登记人可能需要安装新中继证书SubCA SSL CA3-17以认可其电子证书(伺服器)。登记人亦可能需要在其应用程式(例如浏览器或伺服器) 安装新根源证书Root CA2,中继证书SubCA 2-15 或 SubCA 2-17以认可其他种类的电子证书。安装那张中继证书去识别新的证书链,需视乎登记人证书的种类。

S-4 申请及撤销电子证书的程序会否因根源证书更替而有所改变?

电子证书的申请及撤销程序在根源证书更替后将维持不变。

S-5 我们的应用系统支援香港邮政电子证书,我们可否在根源证书更替前,要求测试证书及证书撤销清单作系统测试?

应用系统供应商可致电香港邮政核政机关客户服务电话 2921 6633或电邮至enquiry@eCert.gov.hk查询要求提供测试用的证书,证书撤销清单及储存库查阅服务的事宜。

S-6 在完成根源证书更替后,现有根源证书是否会继续更新及发布授权撤销清单(ARL)?

在完成根源证书更替后,现有的根源证书会继续更新及发布授权撤销清单(ARL),直至2023年5月15日其有效期届满为止。

S-7 根据更替根源证书"Hongkong Post Root CA 1"的实施计划,由2019年2月1日至2019年3月31日期间, 除了政府政策局/部门的电子证书(机构)会由根源证书Root CA1签发外,相关指定政府电子服务的电子证书登记人,其电子证书(个人) 及电子证书(机构)亦会由根源证书Root CA1签发。香港邮政核证机关备存指定政府电子服务清单,各政策局/部门如需要将其电子服务包括在清单内须与香港邮政核证机关商讨。香港邮政核证机关备存的清单有那些指定的政府电子服务?

香港邮政核证机关备存的指定政府电子服务清单,包括 (1)政府电子贸易服务 (包括:进出口报关单,货物舱单,应课税品许可证及产地来源) ; (2)战略物品许可证电子服务。