香港郵政電子核證

香港郵政已於2004年1月完成提升核證機關系統的作業，而新的核證機關系統（「新系統」-其根源(Root)為"Hongkong Post Root CA 1"，"Hongkong Post e-Cert CA 1"及"Hongkong Post e-Cert CA 1 - 10"）亦已接管舊有核證機關系統（「舊系統」-其根源(Root)為"Hongkong Post Root CA"及"Hongkong Post e-Cert CA"）的功能。

自2004年2月1日起，各類的認可證書已經由「新系統」發出；而「舊系統」亦已停止發出認可證書。由於「舊系統」發出的認可證書有效期為一年，所有此等證書的有效期已於2005年2月1日或之前終止，現時再無由「舊系統」所發出但仍然有效的認可證書。

「舊系統」已於2005年4月1日起終止服務，及終止以根源(Root)"Hongkong Post Root CA" 及 "Hongkong Post e-Cert CA" 發出證書撤銷清單（Certificate Revocation List, CRL）。「舊系統」已於2005年3月31日發出其最後的證書撤銷清單。

「舊系統」的終止運作並不影響「新系統」既有的運作（包括發出證書撤銷清單）。香港郵政核證機關的各項服務亦不會受影響。由「舊系統」及「新系統」發出的認可證書及證書撤銷清單，均可於公開儲存庫下載。

A-5 香港郵政核證機關於2010年2月26日更替中繼證書

中繼證書"Hongkong Post e-Cert CA 1"於2003年6月開始簽發認可證書及已於2013年5月15日到期。在中繼證書"Hongkong Post e-Cert CA 1"到期之前，為可持續簽發長達3年有效期的認可證書，香港郵政已於2010年2月26日完成更替中繼證書"Hongkong Post e-Cert CA 1"。

完成中繼證書更替後，中繼證書"Hongkong Post e-Cert CA 1"已停止簽發認可證書；而中繼證書"Hongkong Post e-Cert CA 1 - 10"已從2010年2月26日開始用作簽發認可證書及撤銷其所簽發的證書。電子證書的申請和撤銷程序不會因中繼證書更替而改變。

中繼證書"Hongkong Post e-Cert CA 1"的有效期已於2013年5月15日屆滿，其最後一次的證書撤銷清單已於當日下午2時15分發出。

如需閱覽更多資料，請参閱有關更替中繼證書的公告。

A-6 於2010年2月26日的中繼證書更替會為電子證書登記人帶來什麼影響？

中繼證書更替後，登記人可能需於其應用程式（如網頁瀏覽器或伺服器）安裝新的中繼證書以認可其證書。

e-Cert管理軟件（版本2.1.8 Build 7或以上）可同時支援"Hongkong Post e-Cert CA 1" 和 "Hongkong Post e-Cert CA 1 - 10" 中繼證書。在中繼證書更替之後，電子證書（個人）之登記人需安裝或更新e-Cert管理軟件，以便繼續使用由新的中繼證書所簽發的智能身份證上的電子證書。

如需閱覽更多資料，請参閱有關更替中繼證書的公告。

A-7 香港郵政核證機關於2015年1月1日新增中繼證書"Hongkong Post e-Cert CA 1 - 14"

由2015年1月1日起，新增中繼證書"Hongkong Post e-Cert CA 1 - 14"開始用作簽發SHA-256電子證書（伺服器）及撤銷其所簽發的SHA-256電子證書（伺服器）。電子證書（伺服器）的登記程序和撤銷程序維持不變。

A-8 於2015年1月1日的新增中繼證書"Hongkong Post e-Cert CA 1 - 14"會為電子證書（伺服器）登記人在配置時帶來什麼影響？

安裝於2015年1月1日後發出的SHA-256電子證書（伺服器）時，登記人需在其應用程序，如網頁伺服器中安裝新的中繼證書"Hongkong Post e-Cert CA 1 - 14"以認可其證書。

A-9 中繼證書"Hongkong Post e-Cert CA 1"的有效期屆滿

中繼證書"Hongkong Post e-Cert CA 1"曾於下列期間發出電子證書及銀行證書：

於2003年6月23日至2010年2月25日期間發出電子證書（個人）
於2004年1月12日至2010年2月25日期間發出電子證書（機構）、電子證書（保密）、電子證書（伺服器）、銀行證書（個人）及銀行證書（機構）

中繼證書"Hongkong Post e-Cert CA 1"已由2010年2月26日起停止簽發認可證書及其有效期已在2013年5月15日屆滿。

中繼證書"Hongkong Post e-Cert CA 1"在2013年5月15日下午2時15分（香港時間）發出最後一次"整體證書撤銷清單"及"分割式證書撤銷清單"，其後不再更新。早期所簽發的證書撤銷清單仍可供參考。

中繼證書"Hongkong Post e-Cert CA 1"的有效期屆滿後，除停止更新由中繼證書"Hongkong Post e-Cert CA 1"發出的證書撤銷清單外，其他香港郵政核證機關服務一律不受影響。

詳情可參閱中繼證書有效期屆滿之相關公告。

A-10 香港郵政核證機關於2015年9月1日新增中繼證書"Hongkong Post e-Cert CA 1 - 15"

由2015年9月1日起，新增中繼證書"Hongkong Post e-Cert CA 1 - 15" 開始用作簽發支援線上證書狀態通訊規約的電子證書（伺服器）及撤銷其所簽發支援線上證書狀態通訊規約的電子證書（伺服器）。電子證書（伺服器）的登記程序和撤銷程序維持不變。

A-11 於2015年9月1日的新增中繼證書"Hongkong Post e-Cert CA 1 - 15"會為電子證書（伺服器）登記人在配置時帶來什麼影響？

安裝於2015年9月1日後發出的支援線上證書狀態通訊規約的電子證書（伺服器）時，登記人需在其應用程序，如網頁伺服器中安裝新的中繼證書 "Hongkong Post e-Cert CA 1 - 15"以認可其證書。

B.公開密碼匙基礎建設(PKI)

B-1 甚麼是加密？

加密的概念十分簡單：透過特定程序（算法）及密碼匙，將訊息從初始（普通文本）轉換為另一種不易理解的形式（密碼文本）。之後，再使用同一個密碼匙將該訊息解密，恢復至其初始形式。若欲解密須知曉加密密碼匙。

根據當前使用的加密技巧，本系統的安全特別倚賴於加密密碼匙的長度。加密算法目前可公開獲得，因此密碼匙的複雜程度（即其長度）及機密程度成為確保加密安全強度的要素。

B-2 甚麼是公開密碼匙加密術及其原理？

公開密碼匙加密術或非對稱加密術構成數碼簽署及公開密碼匙基礎建設的基礎。該技術利用一對數學相關但不同的密碼匙私人密碼匙及公開密碼匙。私人密碼匙被機密保存，祗有其擁有者知曉，而公開密碼匙則用於廣泛傳播用途。

若使用某一密碼匙加密訊息，祗有使用與之相配的另一個密碼匙方能解密。

可以用公開密碼匙核實經私人密碼匙簽署的訊息，或對祗能用私人密碼匙解密的訊息進行加密。

B-3 甚麼是核證機關(CA)？

核證機關(CA)指發出供個人或機構使用之獨立認證數碼證書的組織。

B-4 甚麼是數碼證書？

數碼證書指由核證機關發出及數碼簽署的電子文檔，以核實證書持有人之身分。

B-5 甚麼是香港郵政電子核證證書？

香港郵政電子核證證書指由香港郵政核證機關(CA)發出、簽署及管理並符合X.509第三版本標準之數碼證書。

香港郵政核證機關提供四種不同類型的數碼證書：

香港郵政電子證書（個人）證書：用於瀏覽器及電子郵件程式，令用戶可向第三方證明自己的身分。
香港郵政電子證書（機構）證書：由機構、協會或政府部門使用，可用來向其會員∕僱員發出本機構證書，以進行安全的訊息傳送；及香港郵政電子證書（伺服器）證書：用於向用戶認證伺服器，由此以安全接層(SSL)訊息進行溝通。
香港郵政電子證書（保密）證書：只能用於作保密電子通訊的用途。這款證書不可以像個人證書及機構證書一樣，在信息上作數碼簽署。

B-6 甚麼是數碼簽署及其原理？

數碼簽署是一個獨特的位元串，針對每條訊息獨立產生，由發送者私人密碼匙"簽署"，於該訊息發往目標接收人前附加於訊息上。透過使用發送者之公開密碼匙核實簽署，接收人將可確認發送者身分，並確定該訊息於發送過程未經更改。這樣，數碼簽署提供：

認證：證明電子交易各方之身分。

完整性：確信某一訊息的內容未被干擾或更改。

不得毀約：證明協議符合交易條款及防止任何一方不履行承諾。

B-7 甚麼是雜湊函數∕值？

雜湊函數技術用於計算任何給定訊息（代表訊息內容）的固定長度簡短摘要。雜湊函數令改變後的訊息不可能回復其初始狀態，且從計算角度來講很難發現任何兩條訊息雜湊出同一結果。

MD5及SHA為常見雜湊算法。

B-8 甚麼是S/MIME？

S/MIME（安全∕多用互聯網郵件引述）是透過互聯網發送安全電子郵件的未獲正式承認的事實標準。MIME是電子郵寄的行業標準格式，界定了訊息主體的架構。S/MIME使MIME標準增加了安全特徵。支援S/MIME的電子郵件應用程式使MIME格式增加了數碼簽署和加密功能。安全訊息格式的標準化，使用戶毋須使用電子郵件軟件即可進行私人和經驗證的溝通，祗要他們使用的軟件兼容S/MIME即可。要發送和接收安全電子郵件，您和您的接收人必須有公開密碼匙證書和兼容S/MIME的電子郵件應用程式。

B-9 為甚麼我的電子郵件上有一個S/MIME .p7s或 / 和S/MIME .p7m附件？

S/MIME是安全電子郵件規約，而.p7s是數碼簽署文檔，.p7m是加密文檔。如果收到這樣的附件，存在兩種可能：

您可能正使用以互聯網為基礎的電子郵件帳戶。建議您將電子郵件帳戶更換為一個不以互聯網為基礎的帳戶；
您可能正使用一個不兼容S/MIME的客戶程式，因而無法核實隨附的簽署。建議您將電子郵件客戶程式升級為最新版本（如MicrosoftOutlook 98/2000）或使用另一個兼容S/MIME的郵寄程式（如MicrosoftOutlook Express 5或Netscape Messenger 4.7或上述程式）。

B-10 甚麼是安全接層(SSL)？

SSL交接規約由NetscapeCommunications Corporation開發，用於在互聯網上提供安全和私隱保障。該規約支援伺服器和客戶認證。SSL規約獨立於應用程式存在，使HTTP（超文本傳送規約）、FTP（文檔傳送規約）及Telnet等規約可以排列在SSL的最上層。SSL規約能夠協調加密密碼匙，並在數據被高級應用程式交換前認證伺服器。SSL規約透過使用加密、認證和對話方塊密碼匙保持傳送渠道的安全和整體性。

B-11 如何發送經簽署及加密的電子郵件？

雙方若要交換經簽署及加密的電子郵件，必須：

雙方透過兼容S/MIME的電子郵件程式進行聯絡，及
雙方都有數碼證書。

若達到上述條件，訊息發送人可以用其郵寄程式中的"簽署"及∕或"加密"選項簽署和加密訊息。

B-12 怎樣才能獲得其他人的數碼證書（內含公開密碼匙），以向其發送加密電子郵件？

發送加密電子郵件的方法：

您應要求接收人發給您一封經簽署的電子郵件，並將證書儲存到您的地址登記簿內；或從香港郵政的聯機電子核證儲存庫（目錄）中按姓名或電子郵件地址查找數碼證書，再下載接收人的電子核證證書。

B-13 如何讀取收到的加密電子郵件？

如果電子郵件訊息已妥為加密（即用與私人密碼匙相對應的公開密碼匙加密），所加密的訊息將透過您的兼容S/MIME電子郵件應用程式為您自動解密（在您輸入密碼啟動私人密碼匙後）並向您顯示普通文本。

B-14 如何核實所收到的簽署訊息上的數碼簽署？

如果發送人已在簽署訊息中包括其公開密碼匙證書，訊息上的數碼簽署將透過您的兼容S/MIME電子郵件應用程式自動核實。在Netscape Messenger中，一個標明"經簽署" 的安全圖標將顯示於訊息右上角。

B-15 我怎樣才能知道收到的電子郵件是否被簽署或加密？

對於Netscape Messenger用戶：經安全處理的訊息的右上角有一個圖標，表示該訊息已經過"簽署"、"加密"或"簽署及加密"。

B-16 是否可以向沒有數碼證書的人發送安全電子郵件？

不可以。若需將所要發送的電子郵件訊息加密，您需要取得接收人的公開密碼匙。如果接收人沒有數碼證書，他∕她便沒有公開密碼匙。

但您可以向電子郵件應用程式支援S/MIME的接收人數碼簽署訊息。他們可以在訊息上核實您的簽署。

C. 香港郵政電子核證服務

C-1 香港郵政電子核證支援漢字嗎？

目前，香港郵政所採用的技術不支援漢字。因此，目前所有香港郵政電子核證證書祗能以英文發出。

C-2 香港郵政電子核證支援Elliptic Curve Cryptosystem (ECC)嗎？

目前，香港郵政不支援Elliptic Curve Cryptosystem (ECC)。

C-3 香港郵政電子核證支援object signing和Authenticode嗎？

目前，香港郵政不支援object signing和Authenticode。

C-4 香港郵政電子證書密碼匙長度是多少？

由2012年12月1日起，香港郵政核證機關只會簽發RSA密碼匙長度為2048位元的電子證書（伺服器）。

由2014年1月1日起，香港郵政核證機關只會簽發RSA密碼匙長度為2048位元的電子證書（個人）、電子證書（機構）及電子證書（保密）。

由2014年5月28日起，香港郵政核證機關只會簽發RSA密碼匙長度為2048位元的智能身份證電子證書（個人）。

香港郵政核證機關會簽發RSA密碼匙長度為2048位元的電子證書（機構職務）。

C-5 香港郵政電子核證證書國際通用嗎？

香港郵政電子核證證書符合X.509第三版本標準（一項國際標準），因此可國際通用。

C-6 進入香港郵政核證機關網站有哪些系統需求？

本網站採用超文本標示語言HTML4.01標準建立網頁。使用者可透過任何支援此標準的瀏覽器瀏覽這些網頁。然而，網頁的實際展示方式會因瀏覽器、電腦及操作系統不同而異。建議使用者，為互聯網瀏覽器及操作系統安裝最新版本的保安修補程式，以瀏覽本網站。

C-7 我是否可以在Hotmail或其他電子郵件服務上使用電子核證？

不可以。以互聯網為基礎的電子郵件服務（如Hotmail或Yahoo）不兼容S/MIME。詳情請見課題S/MIME。

C-8 我的香港郵政電子核證證書屆滿後怎麼辦？

如果一份香港郵政電子核證證書屆滿，則不可再用來加密發送電子郵件。您應重新申請新的電子核證證書。

C-9 本人可申請多少份香港郵政電子核證證書？

您可隨意決定。每人可申請的香港郵政電子核證證書數目未加限制。

C-10 一份香港郵政電子核證證書的費用是多少？

四種類型的香港郵政電子核證證書的登記費如下：

證書類型	每年費用（港元）
個人	50港元
機構	150港元（首次申請為50港元）（每次申請加收行政費150港元）
伺服器〔不屬於"通用版"和"多域版"〕	2,500港元
伺服器"通用版"	**~~8,700港元 + 每台附加伺服器500港元~~ 推廣價: 8,265港元 + 每台附加伺服器475港元
伺服器"多域版"	3,000港元 + 每個額外伺服器名稱2,500港元
保密	** ~~150港元~~ 推廣價 : 24港元（每次申請加收行政費150港元）
機構職務	150港元（每次申請加收行政費150港元）

** 由2020年1月1日起，電子證書（伺服器）"通用版"的登記費用會提供推廣折扣優惠，直至另行通告為止。而電子證書（保密）的推廣折扣優惠會作出調整。欲知詳情，請瀏覽有關公告。

C-11 香港郵政電子核證證書的有效期為多長？

香港郵政電子證書（個人）有效期為三年。
香港郵政電子證書（機構）有效期為一年或兩年。
香港郵政電子證書（伺服器）、電子證書（伺服器）"通用版"及電子證書（伺服器）"多域版"有效期為一年。
香港郵政電子證書（保密）有效期為一年、兩年、三年或四年。

C-12 我能否更改證書上的資料？

數碼證書一經產生即不可更改。如果您更改了證書上的任何資料（如姓名或電子郵件地址），必須申請新的證書，同時亦應撤銷現行證書。

C-13 香港郵政核證機關所支援的密碼匙長度是多少？

由2014年5月28日起，香港郵政核證機關只會簽發2048位元RSA密碼匙長度的智能身份證電子證書（個人）。若申請人要求申請智能身份證電子證書（個人），申請人必須持有可載入2048位元RSA密碼匙長度的電子證書（個人）的智能身份證（詳情請參閱"如何檢查智能身份證的版本"）。欲知詳情，請瀏覽有關公告。

由2014年1月1日起，香港郵政核證機關只會簽發RSA密碼匙長度為2048位元的電子證書（個人）、電子證書（機構）及電子證書（保密）。詳情請參閱香港郵政核證機關網站的公告。

由2012年12月1日起，香港郵政核證機關只會簽發RSA密碼匙長度為2048位元的電子證書（伺服器）。詳情請參閱香港郵政核證機關網站的公告。

C-14 香港郵政核證機關支援什麼雜湊算法？

香港郵政核證機關只會簽發SHA-1的智能身份證電子證書（個人）、電子證書（個人）、電子證書（機構）、電子證書（機構職務）及電子證書（保密）。

由2015年1月1日至2015年12月31日,香港郵政核證機關所簽發的電子證書（伺服器）將預設為SHA-256，但登記人仍可提交書面要求簽發有效期為一年的SHA-1電子證書（伺服器）。由2016年1月1日起，香港郵政核證機關只會簽發SHA-256電子證書（伺服器）。詳情請參閱香港郵政核證機關網站的公告。

C-15 香港郵政核證機關簽發的電子證書（伺服器）支援線上證書狀態通訊規約 (OCSP) 嗎？

香港郵政核證機關將分階段落實簽發支援線上證書狀態通訊規約的電子證書（伺服器）。由2015年9月1日至2016年8月31日，香港郵政核證機關所簽發的電子證書（伺服器）將預設為支援線上證書狀態通訊規約，但登記人仍可提交書面要求簽發有效期為一年的不支援線上證書狀態通訊規約的電子證書（伺服器）。由2016年9月1日起，香港郵政核證機關只會簽發支援線上證書狀態通訊規約的電子證書（伺服器）。詳情請參閱香港郵政核證機關網站的公告。

由2019年7月1日起，電子證書（伺服器）證書的線上證書狀態通訊規約 (OCSP)應答會即時反映證書的撤銷狀態。

C-16 為何瀏覽器首先須接受香港郵政根源核證機關的證書？

香港郵政根源核證機關證書非未預先安裝於標準瀏覽器中。即您必須自行將香港郵政根源核證機關證書裝載於自己的瀏覽器中。有了此份根源證書，香港郵政核證機關發出的證書才會有效。

C-17 我應在何處下載香港郵政根源證書？如何將其安裝於瀏覽器中？

香港郵政根源證書可從"下載"標題進行下載。

C-18 如何重新獲得已丟失或被意外刪除的電子核證？

若丟失香港郵政電子核證證書，必須立即撤銷自己的證書。萬一您意外刪除了自己的證書，您祗需從備存文檔中調出證書即可。若沒有備存文檔，則須呈遞一份新申請。

C-19 為何設置香港郵政電子核證證書備存文檔十分重要？

若丟失自己的證書，且未設置備存文檔，您將無法進入自己的所有舊加密訊息（因為您已不擁有用於解密該等訊息的私人密碼匙）。因此，設置證書備存文檔至關重要。

C-20 我是否可以將一個香港郵政電子核證證書用於多個電子郵件地址？

目前，幾乎所有普通瀏覽器均不能在單個證書上認可多個電子郵件地址。因此，香港郵政核證機關採用每份證書對應一個電子郵件地址的政策。

C-21 香港郵政電子核證證書的認證程序是甚麼？

認證程序詳情請參閱香港郵政核證作業準則。

C-22 為何香港郵政向未成年人發出數碼證書？

這是香港郵政激發年青一代參加安全電子交易和通訊的措施。如果證書持有人在提交申請時仍未成年，證書上將顯示"香港郵政電子證書（個人∕未成年）"字樣。茲提醒倚據人士，未成年人不能合法訂立合約，任何與未成年人進行的交易將來可能被判無效或作廢。

C-23 可否從香港郵政伺服器目錄中查閱保密證書？

當然可以。保密證書與其他由香港郵政簽發的證書一樣，會載入目錄供公眾查閱。

C-24 有關香港郵政電子核證證書使用條件的資料可以在哪裏查閱得到？

全港郵政局的櫃位均備有登記人協議及核證作業準則以供索閱，這兩份文件詳載電子核證證書使用條件的各項條文。香港郵政核證機關網頁亦載有核證作業準則全文。

C-25 如收件人以同一電郵地址登記不止一張數碼證書，如何以Netscape瀏覽器搜尋指定的一張？

你須透過Hongkong Post e-Cert Directory的目錄，在搜尋根欄內輸入多幾個明確的字眼。舉例來說，在搜尋根一欄輸入"OU=0000920170,O=Hongkong Post e-Cert (Personal),C=HK"，便可把搜尋範圍局限於電子證書（個人）證書和SRN=0000920170之內。如需獲取更多有關在Hongkong Post e-Cert Directory目錄之下，設定較詳盡搜尋根值的資料，請參閱有關用戶指南。

C-26 為甚麼電子證書申請人必須親往郵政局辦理身分認證手續？

電子證書是確保顧客能夠安全而穩妥地進行電子交易的數碼證書。香港郵政有責任在處理證書申請時，妥為確認申請人的身分。因此，要求申請人親往郵政局辦理手續是保障申請人的必要措施，以便在簽發電子證書前，面對面確認申請人的身份及向申請人派發密碼信封。

C-27 可否在午飯時段﹑週末或週日到郵政局辦理身分認證手續？

可以。郵政局午飯時段照常開放，個別分局（中環郵政總局及尖沙咀郵政局）亦於週末下午及週日上午九時至下午二時繼續辦公為市民服務。各郵政局辦公時間，可於香港郵政核證機關網頁查閱。

C-28 如在安裝電子證書過程中遇到任何問題的話，可如何求助？

可致電電子證書熱線29216633。

C-29 香港郵政將電子證書儲存媒體郵寄給申請人的安排是否恰當？

香港郵政非常重視電子證書的保安問題。以郵寄方式發出電子證書儲存媒體可免除申請人到郵政局多走一趟。為加強保安，電子證書儲存媒體是以紀錄派遞的方式寄出，換言之，收件人必須親自認收。此外，電子證書須配合個人密碼，而這個密碼已在申請人提出申請時交給申請人。

C-30 電子證書可否在運行Linux和Mac操作系統的電腦上使用？

各版本的Windows系統都支援使用電子證書。但Linux和Mac的用家則須要安裝合適的嵌入軟件，以使用電子證書。關於嵌入軟件的資料，可向有關的Linux和Mac系統供應商查詢。

C-31 電子證書（機構職務）和電子證書（機構）有什麽分別？

電子證書（機構職務）和電子證書（機構）均是供登記人機構之成員或僱員使用。而電子證書（機構職務）額外的特點，是可包含登記人機構提供的授權用戶的職銜或職位資料，同時，電子證書（機構職務）只可用於其登記人機構之指定系統。有關其他要點，請參閱電子證書（機構職務）《核證作業準則》附錄D。

C-32 本機構適合使用電子證書（機構職務）還是電子證書（機構）？

電子證書（機構職務）可於登記人機構之公匙基建應用中作數碼簽署及加密與解密電子信息。此外，電子證書（機構職務）只可用於其登記人機構之指定系統。如機構有意申請電子證書（機構職務），請致電香港郵政核證機關熱線2921 6633或電郵至[email protected]查詢。

C-33 電子證書（機構職務）和電子證書（機構）在申請程序上有什麽分別？

電子證書（機構職務）和電子證書（機構）在申請程序上的主要分別在於，登記人機構必須先與香港郵政核證機關作出安排，香港郵政核證機關才可以為登記人機構發出電子證書（機構職務），而申請使用電子證書（機構）僅由登記人機構自行判定。

C-34 爲什麽登記人機構必須先與香港郵政核證機關作出安排，香港郵政核證機關才可以為登記人機構發出電子證書（機構職務）？

電子證書（機構職務）只可用於其登記人機構之指定應用。所以，登記人機構必須先與香港郵政核證機關作出安排，香港郵政核證機關才可以為登記人機構發出電子證書（機構職務）。

C-35 電子證書上的「登記人機構名稱」和「登記人機構分行/部門名稱」的欄位長度最長是多少？

為符合國際標準，電子證書上的「登記人機構名稱」和「登記人機構分行/部門名稱」長度均不能超過64個字元。如果提交的「登記人機構名稱」或「登記人機構分行/部門名稱」長度超過64個字元，香港郵政核證機關會聯絡申請人並按照以下縮寫列表對超過64個字元的名稱進行縮寫，使其長度不超過64個字元。

縮寫列表
詞彙	縮寫
Branch	Br.
Centre	Ctr.
Committee	Cmte.
Company	Co.
Department	Dept.
Hong Kong	HK
Incorporated	INC.
Limited	Ltd.
Management	Mgmt.
School	Sch.

C-36 我們是香港數碼港推行的「智方便」沙盒先導計劃（"計劃"）的參與者。我可否申請試用版電子證書（保密）用於該計劃進行測試？

歡迎您就該測試程式的計劃提出申請試用版電子證書（保密）。為了使參與者能遞交電子證書的公開密碼匙予該計劃以參與測試，該計劃的每位參與者可以申請一份試用版的電子證書（保密）。查詢請致電香港郵政核證機關客戶服務電話2921 6633或電郵至[email protected]，標題請註明"「智方便」先導測試 - 電子證書（保密）試用版"。

D. 電子證書（伺服器）提交證書簽署要求(CSR)

D-1 甚麼是證書簽署要求(CSR)？

證書簽署要求(CSR)是一個由您的伺服器所產生並包含你的機構資料和公開密碼匙的要求。香港郵政核證機關會根據您的證書簽署要求以發出您的電子證書（伺服器）。

D-2 如何發出證書簽署要求(CSR)？

請參閱電子證書（伺服器）用戶指南以了解base64編碼和附合PKCS#10格式的證書簽署要求(CSR)。請確保於「Common Name」一欄輸入正確的登記域名（例如：www.example.com）及「Country」一欄輸入「HK」。

D-3 在電子證書（伺服器）提交證書簽署要求(CSR)過程中，我應該將甚麼貼上Certificate Signing Request (CSR)的文字方格？

您應該將整個證書簽署要求(CSR)的內容包括 "-----BEGIN NEW CERTIFICATE REQUEST-----" 及 "-----END NEW CERTIFICATE REQUEST-----" 貼上Certificate Signing Request (CSR)的文字方格。

D-4 如果我沒有在提交證書簽署要求(CSR)過程的最後步驟下載我的電子證書（伺服器），我應該怎樣辦？

成功完成提交證書簽署要求(CSR)過程後，您可以從搜尋及下載證書網頁下載您的電子證書（伺服器）。

D-5 如何為具中文網域名稱電子證書（伺服器）發出「證書簽署要求」 (CSR)？

如使用中文網域名稱，登記人需使用國際網域名稱轉換工具轉換成ASCII 字元。

E. 電子核證代製密碼匙服務常見答問

E-1 何謂代製密碼匙服務？如何運作？

香港郵政代登記人製作配對密碼匙﹝包括私人密碼匙及公開密碼匙﹞及產生電子證書。整個過程會在香港郵政的設施內穩妥地進行，以確保配對密碼匙及證書不會被篡改。配對密碼匙及證書會以密碼保護並存於電子證書儲存媒體上。電子證書儲存媒體會以掛號形式郵寄給登記人。登記人須以另外分發的密碼開啟電子證書儲存媒體上的證書檔案。

E-2 是否各種證書都可使用這項服務？

個人、機構及保密證書均可免費使用代製密碼匙服務。如有意使用這項增值服務，請在遞交香港郵政電子核證證書申請表時一併提出，並指定領取證書檔案的方式。

E-3 有沒有設定防護措施保護由代製密碼匙服務產生的證書檔案？

香港郵政代登記人製作的配對密碼匙均經加密，在完成送遞電子證書及私人密碼匙給登記人後，密碼匙會從香港郵政系統中刪除。

E-4 有沒有應用工具或程式可以更改電子證書檔案的密碼？

可以從香港郵政核證機關網頁下載"更改電子證書檔案密碼程式"，即可以方便快捷的方法更改上述檔案的密碼。軟件下載後，只需進行簡易安裝程序，程式便可使用。

E-5 使用"更改電子證書檔案密碼程式"軟件有沒有甚麼限制？

"更改電子證書檔案密碼程式" 軟件為香港郵政電子證書登記人而設。用戶可免費使用此軟件更改存於軟磁碟或其他儲存媒體上電子證書檔案（PKCS#12格式）的密碼。此軟件只能在微軟Windows XP / Vista / 7 / 8 平台操作。

E-6 "更改電子證書檔案密碼程式"軟件如何操作？

"更改電子證書檔案密碼程式"軟件適合在視窗操作平台操作，方便更改磁碟上電子證書檔案的密碼。密碼更改成功後，該磁碟上的電子證書檔案將嵌進新設定的密碼。

F. 技術問題

F-1 系統要求

Pentium133或以上級數(或兼容），32MB RAM
Windows 95、Windows 98 或Windows NT。
Netscape Navigator 4.08 / Communicator 4.5(或以上) 或 Microsoft Internet Explorer5.01 配以 128位元高加密(或以上)
硬碟空間：100MB

F-2 怎樣才能知道自己的香港郵政電子核證證書是否已安裝好？

若屬Netscape用戶：

打開Netscape瀏覽器；
按一下主工具欄中的保安圖標（該圖標類似一個掛鎖）；
自左側菜單中選擇Certificates>Yours。核實您的新電子核證是否已列入個人證書顯示區域。
查看電子核證詳細資料，選擇（電子核證），再按一下"View"按鈕。

F-3 個人辨識密碼好象不起作用時怎麼辦？

您必須正確輸入個人辨識密碼，確保：

個人辨識密碼包括全部16位數字；
個人辨識密碼前後或其間沒有空格。

若仍有問題，請聯絡香港郵政核證機關查詢熱線29216633。

F-4 為何在下載證書後不久即收到"證書已屆滿"訊息？

此種情況發生的原因可能是個人電腦的系統時間慢於我們核證機關系統的系統時間。我們的核證機關系統使用全球定位系統（GPS）時鐘戳印證書時間。為避免此種情況，您可稍等片刻或修改您的系統時鐘

F-5 本人已刪除自己的 Netscape Navigator，並已安裝最新版本。我怎樣重新安裝自己的數碼證書？

若您已清除舊版Netscape Navigator，那麼您亦已刪除包含與您的電子證書有關的私人密碼匙的文檔。若沒有私人密碼匙或備存文檔，您就不可能重新安裝自己的電子證書。您需要申請一份新證書。

使用Netscape安裝程式升級Navigator可以保留您的個人資料（包括電子證書及私人密碼匙）。

F-6 如何判斷自己是否連接到一個安全伺服器上？

進入由香港郵政電子證書（伺服器）證書加密的伺服器，用戶可以在互聯網Explorer瀏覽器下面或Netscape瀏覽器主工具欄上看到一個掛鎖形圖標，按一下此掛鎖圖標，即可瀏覽伺服器證書的詳情。

F-7 怎樣才能獲得128位元∕全強度對話方塊？

首先，人們所說的128位元或40位元連接通常指"對話方塊密碼匙"。這是一個對稱密碼匙，該密碼匙在瀏覽器∕伺服器初次"對接"完成之後，當瀏覽器連接用來加密及解密數據（於伺服器之間傳送）的伺服器時，由瀏覽器製造。

如果您的伺服器支援全強度對話方塊，且連接於網站的瀏覽器支援128位元，即可製造及使用一個128位元對話方塊密碼匙。

美國出口的瀏覽器祗能製造40位元對話方塊密碼匙，但美國國內經銷或美國以外公司生產的瀏覽器則能製造128位元對話方塊密碼匙，因而可連接到以類似方法生產或銷售的全強度密碼伺服器上。

在美國以外的國家，若干財務機構及政府機構可申請全球伺服器證書（有時稱為Step-up伺服器證書）。若在伺服器上安裝任何一份上述證書，即可保證用任何瀏覽器進行128位元連接，不論瀏覽器屬於"出口"或"國產"類型。

F-8 我在自己的伺服器證書申請上應使用甚麼網域名稱？

請慎重選擇自己的網域名稱。證書一經發出，即不可更改該項資料。網域名稱應與安裝證書的伺服器名稱完全相同，當在伺服器上連接一個瀏覽器時，其網域名稱將與證書上的網域名稱相配。若不相配，瀏覽器將發出認證錯誤資訊。

F-9 保密證書內哪個字段控制一對密碼匙的用途？

"密碼匙用途" 的擴充字段規定一對密碼匙的用途。香港郵政電子證書（保密）證書只設定成"保密密碼匙"及 "數碼簽署" 位元。

F-10 電子證書（保密）證書的用途為何？

此類證書只可用作:

傳送加密之電子信息予登記人機構；
容許登記人機構為信息解密；及
容許登記人機構發出認收信息並附加其數碼簽署以證實其登記人機構收件身分，藉此確認已收訖送出之加密信息。

此外，此類證書產生之數碼簽署只可用作認收電子信息，並只可用於與聯機付款或聯機投資無關或不相連或不會聯機為任何人士或實體帶來任何性質之財務利益之交易。不論任何情況，此等證書產生之數碼簽署均不得用作認收與洽商或訂定合約或任何具法律效力之協議有關而傳送之電子信息。

F-11 在Crypto Tools 軟件內使用電子證書

已於2003年結業的i-Security Solutions Limited (iSSL)（該公司）所發行的Crypto Tools軟件，已於該公司結業後停止發售及分發。如你仍使用該軟件，以香港郵政電子證書作為數碼簽署及加密用途，你應注意：由於使用或分發該軟件所引致的索償，香港郵政概不接受、亦不承擔任何責任。

G. 撤銷證書

G-1 如何撤銷香港郵政電子核證證書？

登記人可於任何時間以任何理由提出要求撤銷其證書。

可使用下列方法提出撤銷證書的要求：

透過傳真27759130發出撤銷證書的要求，該文件之正本需以郵寄方式交回。
發函至香港東九龍郵政局信箱68777號香港郵政核證機關。
向[email protected]發送一份經數碼簽署的電子郵件。
親自前往郵局簽署一份撤銷證書的要求（請使用原始申請表上的簽署）。
如於網上提交電子證書(伺服器)的撤銷證書要求，需輸入獲授權代表的個人資料及於密碼信封上的十六位密碼，此密碼信封於獲授權代表提交申請表時親身接收。

所有證書之暫時吊銷或撤銷僅在此等暫時吊銷或撤銷已被公佈於證書撤銷清單（Certificate Revocation List）後方告生效。

個人證書的要求

個人證書祗可由該證書的登記人撤銷。

撤銷機構證書的要求

機構證書可由下列人士撤銷：

獲指明為機構授權代表之人，且在申請時申請表上有其作為授權簽署人的簽署；
作為證書登記人在證書上列出其姓名之人。

撤銷伺服器證書的要求

伺服器證書可由獲指明為機構授權人士之人撤銷，且在申請時申請表上有其作為授權簽署人的簽署。

撤銷保密證書的要求

保密證書可由獲指明為機構授權人士之人撤銷，且在申請時申請表上有其作為授權簽署人的簽署。

向登記人∕授權代表發出確認書

根據傳真撤銷證書申請，香港郵政將在證書上設置"存留"以使暫時吊銷生效，但並非撤銷證書。此後，登記人須向香港郵政發出其原始撤銷函，以完成撤銷程序。親自到場辦理或數碼簽署的撤銷要求會直接作為即時撤銷處理，而毋須經過"存留"程序。收到撤銷證書申請一周內，香港郵政將盡力向登記人發出撤銷通知書。

辦理撤銷證書要求的營業時間

星期一至星期五　上午九時至下午五時

星期六　上午九時至中午十二時

星期日及公眾假日　上午九時至中午十二時

若於任何工作日懸掛八級（或以上）熱帶氣旋警報訊號或黑色暴雨警報訊號，且在當日早上六時或之前訊號除下，香港郵政核證機關將照常營業。若訊號在任何工作日（星期六、日及公眾假日除外）早上六時至上午十時之間或上午十時除下，香港郵政核證機關將於當日下午二時營業。

服務保證和證書撤銷清單更新

香港郵政將作出合理努力，查看在(1) 香港郵政自登記人處收到撤銷申請或 (2) 在無此申請之情況下，香港郵政決定暫停或撤銷證書，兩個工作日內，暫停或撤銷證書及將撤銷清單予以公佈。
然而，證書撤銷清單并不會於各證書撤銷後隨即在公眾目錄中公佈。祗有在下一份證書撤銷清單更新時一并公佈，證書撤銷清單介時才會顯示該證書已撤銷的狀態。[證書撤銷清單每日公佈一次，並存檔七年。]

為避免疑點，所有星期六、星期天、公眾假日及懸掛熱帶風暴及暴雨警報信號的工作日均不計工作日。

G-2 為甚麼要在證書屆滿前撤銷證書？

如果您懷疑自己的私人密碼匙已外洩，或不願再參加香港郵政公開密碼匙基礎建設，我們建議您撤銷（取消）自己的證書。

G-3 如何核實已撤銷證書的進展情況？

如欲查明已撤銷的香港郵政電子核證證書的狀況，可接達目錄伺服器ldap1.eCert.gov.hk，查閱香港郵政核證機關證書撤銷名單；名單上的資料會每日更新。由於目錄伺服器的證書撤銷名單只可以輕量級目錄存取協定(LDAP)取讀，查閱名單的人士須使用具LDAP功能的用戶軟件（如電子證書客戶套件內的強碼一號軟件），方能取讀資料。客戶亦可前往香港郵政網頁，接達一致性資源定址器URL: http://crl1.eCert.gov.hk/crl/eCertCA1-10CRL1.crl，取讀證書撤銷名單。客戶如使用設有Internet Explorer 5.0或以上版本的微軟視窗，在開啟CRL檔案時，熒幕會出現證書撤銷名單，順序詳列各已撤銷的證書。有關的證書可按序查找。另請注意，證書撤銷名單不會載列已過期證書狀況的資料。

H. 刪除和恢復問題

H-1 如果我的硬碟出現故障，是否有辦法恢復香港郵政電子核證證書？

硬碟故障可能會刪除您電腦中的證書。證書一旦丟失，就無法重新獲得。在這種情況下，您首先須撤銷自己的證書，然後登記一份新證書。您也可以恢復自己的備存文檔並將該文檔加入自己的瀏覽器中。

H-2 如果電腦和證書同時失竊應該怎麼辦？

由於您的數碼證書受密碼保護，一般情況下任何其他人都不可能假冒您使用您的數碼證書。但如果您的電腦失竊，我們建議您應立即撤銷自己的證書，然後登記一份新證書。

H-3 我是否應該刪除已屆滿或已撤銷的電子證書？

您不應該刪除已屆滿或已撤銷的電子證書。刪除證書後，您將不能再進入與證書相關的私人密碼匙，因此不再可能閱讀以該證書加密的訊息。

I. 備存和轉移證書

I-1 如何儲存數碼證書的備存文檔？

每個瀏覽器有其自己的備存程序。對於Netscape用戶：

按一下主工具欄中的安全圖標（類似掛鎖的圖標），
從左側目錄中選擇Certificates>Yours，
選擇您要儲存的電子核證證書並按一下輸出，
系統將提示您選擇傳送密碼，每當您輸入或打開該電子核證文本時都要提供該密碼。按一下確認，
選擇您儲存電子核證證書的位置（如您的磁碟）及檔案名稱。按一下儲存，
以安全的方式保護您的磁碟或其他媒介和您的傳送密碼。

對於Internet Explorer用戶：

在您的Internet Explorer瀏覽器畫面，在目錄中選擇「工具」，然後選擇「Internet選項」。
在「Internet選項」視窗內，按「內容」標籤，然後選擇「認證」按鈕。
「憑證管理員」視窗便會出現。請選擇「個人」標籤並選取所要匯出之證書。然後按「匯出」鍵。
憑證管理員匯出精靈的畫面隨即出現。請閱讀畫面中所提供的資訊，然後按「下一步」按鈕。
現在您必須指出您是否要將私密金鑰（即私人保密匙）與您的證書一起匯出。選擇「是的，匯出秘密金鑰」，然後按「下一步」。您必須指定匯出之檔案之格式。預設之格式為私人資訊交換（PersonalInformation Exchange） (PKCS#12)格式。
挑選「如果可能的話，在憑證路徑中包含所有憑證」的選項。
如果您要將匯出的檔案並非應用於Internet Explorer 5.0或以上版本，您要取消「啟用加強保護（需要 IE 5.0、NT5.0或以上的版本）」的選項。
按「下一步」按鈕。在選擇了匯出您的秘密金鑰後，系統會提示您鍵入一個密碼以保護該.PFX匯出檔案。
鍵入一個長度不短於8個字符的密碼（如需要您可選擇一個新密碼）用以保護該.PFX檔案。然後按「下一步」按鈕。註：密碼用於保護將匯出之.PFX檔案及應用於日後入該檔案。為安全起見，請將該密碼和.PFX檔案分開保存。您現在必須決定 .PFX檔案存放位置。
在「檔名」方框中鍵入存放位置及有意義的名稱（例如c:\HKJCcert 或 a:\chantaiman) 按「下一步」。
在出現的「完成憑證管理員匯出精靈」視窗內，按「完成」按鈕。
如您想匯出的密碼匙是設定為高安全等級，以下的視窗會跳出要求您輸入使用這密碼匙的密碼。請您現在輸入密碼，然後按「確定」。
按「確定」按鈕。

I-2 如何將我的數碼證書轉移到另一台電腦？

轉移電子核證證書的第一步是將證書從電腦硬碟儲存（"輸出"）到一張磁碟或其他轉移媒介。您的電子證書成功輸出後，您可以將其輸入另一台新電腦。將電子證書輸入Netscape Navigator的方法如下：

按一下主工具欄中的安全圖標（類似掛鎖的圖標），
從左側菜單中選擇Certificates>Yours，
選擇輸入，
系統將提示您提供您用於保護電子核證證書的密碼，
從備存電子證書的磁碟或其他媒介（應具備.p12引述）中找到您的電子證書。用滑鼠點中證書並按一下打開，
輸入自己的傳送密碼並按一下確認。

將電子證書輸入 Internet Explorer 的方法如下：

匯入的程序與匯出十分相似。在您的Internet Explorer瀏覽器畫面，選擇目錄中的「工具」欄，然後選擇「Internet選項」。
在「Internet選項」視窗內，按「內容」標籤，然後選擇「認證」按鈕。
在以下的「憑證管理員」視窗中，請選擇「個人」標籤，然後按「匯入」按鈕。
在出現「憑證管理員匯入精靈」的畫面後，閱讀畫面中所提供的資訊，然後按「下一步」按鈕。
您現在需要選擇要匯入的檔案。按瀏覽按鈕選擇匯入的地點和檔案名。若您想將證書由e-Cert代製密碼匙或其他應用程式匯出的.P12副檔名的PKCS#12證書檔案匯入，您需要按下「瀏覽」按鈕然後在「開啟舊檔」視窗中將檔案類型改為「所有檔案(*.*)」。然後選擇所要的.P12檔案。
請按下「下一步」按鈕。系統然後提示您輸入密碼。此處必須使用匯出此.PFX檔案時所設定的密碼。請選擇「啟用加強私密金鑰保護」。如您想在今後可以匯出此證書及配對密碼匙，請同時選擇「將秘密金鑰標示為可匯出的」。
鍵入密碼然後按「下一步」按鈕。
現在需為該檔案選擇存放的地方，請選擇第一選項「自動根據憑證的類型來選擇憑證存放區」。然後按「下一步」按鈕。
畫面出現「完成憑證管理員匯入精靈」視窗。按「完成」按鈕。「私密金鑰容器」的視窗便會出現。微軟 Internet Explorer將您的配對密碼匙和電子核證證書之詳情儲存在私密金鑰容器。因此以下幾個步驟會要求您選擇安全等級，及提供使用者名稱及項目密碼，儲存以後作認明身份和存取許可之用。
按下「設定安全等級」鍵。
選擇「高」安全等級（中級為預設值），按「下一步」鍵。
「私密金鑰容器」視窗現要求一個密碼以保護配對密碼匙。如果先前已經建立了任何項目密碼，您可選擇「使用這個密碼來保護這個項目」，並從向下展開的表中選擇適當的項目密碼。如果您正在使用新安裝的微軟Internet Explorer，或者如果您在以前沒有建立項目密碼，請選擇「為新項目建立密碼」，並鍵入新項目的名稱和密碼。
按「完成」按鈕。
再次鍵入剛選擇或設定的私密金鑰容器的項目密碼，然後按「確定」按鈕。
如這個PKCS#12檔案內含有香港郵政電子核證根源證書，一個「主要憑證儲存區」視窗會跳出要求您確定，請按「是」。如瀏覽器已安裝香港郵政電子核證根源證書，以上視窗便不會出現。
按「確定」按鈕。
按「結束」按鈕關閉憑證管理員精靈。然後按「確定」按鈕關閉「Internet選項」視窗。

附註：在刪除舊證書和過渡檔案前，請確保您已將證書成功輸入另一台新電腦。

J.智能身份證電子證書 / 智能卡閱讀器

J-1 什麼類型的智能卡閱讀器可支援使用智能身份證內的電子證書？

支援使用智能身份證內電子證書的智能卡閱讀器應具備以下特點：

必須具備的特點

特點	必須符合的規定
智能卡界面標準	ISO7816
附設軟件	PC/SC驅動程式

建議具備的特點
除以上必備特點外，智能卡閱讀器最好兼備以下特點：

特點	最好能符合的規定	附註
卡片接觸類型	下落式接觸	預期一張智能身份證可使用逾十年。由於下落式接觸類型可給卡片提供較佳保護，所以是較理想的設計。
軟件界面標準	Europay、MasterCard及Visa(EMV)	EMV之所以較為可取，在於可支援日後在市場上可能出現的電子繳費功能。

J-2 我可以從哪裏購買可支援智能身份證電子證書的智能卡閱讀器？

你可於香港郵政的網上商店「郵購網」訂購適用的智能卡閱讀器。

J-3 應怎樣安裝智能卡閱讀器？

請依照智能卡閱讀器包裝內的安裝指南進行安裝。

J-4 智能卡閱讀器會否對我的智能身份證造成損壞？

要減低對智能身份證（將使用長達十年之久）可能造成的損壞，建議選用下落接觸式智能咭閱讀器。

J-5 要安裝智能卡閱讀器，個人電腦的最低要求是什麼？

你的個人電腦需至少附設有通訊介面如USB連接埠或PCMCIA連接埠以連接智能卡閱讀器，但實際要求須視乎你所選購的智能卡閱讀器所指定的規格。

J-6 若智能身份證上的晶片被刮花，晶片內的電子證書會否受影響？

只要你能如常輸入你的電子證書密碼及使用智能身份證內的電子證書，已刮花的晶片將不會對你的電子證書造成任何影響。

若然你發覺不能讀取智能身份證內的電子證書資料，智能身份證的晶片可能已損壞。你可向入境事務處申請更換領智能身份證。

J-7 若我的智能身份證已受損壞及不能讀取電子證書資料，我應怎樣做？

你可向香港郵政要求撤銷你的電子證書。

J-8 智能身份證可儲存多少張電子證書？

每張智能身份證只可儲存一份可即時使用的電子證書及其對應的配對密碼匙。每次將新的電子證書載入智能身份證時，舊有的電子證書將會被取替。但其對應之私人密碼匙將可繼續儲存在智能身份證上。每張智能身份證可儲存最多三條舊有證書的私人密碼匙。被取替的電子證書﹝個人﹞可儲存至電腦或其他儲存媒體內。

J-9 若意外地刪除智能身份證上的電子證書，應該怎樣做？

當你申請電子證書﹝個人﹞並要求將電子證書載入智能身份證時，電子證書也會儲存於你所選擇的電子證書儲存媒體內。若你意外地刪除智能身份證上的電子證書，你可自行將儲存在電子證書儲存媒體內的電子證書載入你的智能身份證內。

J-10 如沒有智能卡閱讀器，我可以於何處查閱智能身份證上的電子證書資料？

你可於附設智能卡閱讀器的公共電腦查閱智能身份證上的電子證書資料。

J-11 智能身份證上的電子證書有效期是多久？

智能身份證上的電子證書（個人）有效期為3年，而登記使用期為一年。登記人需在每一年登記使用期屆滿前繳付年費，以便繼續使用該電子證書。

J-12 若智能身份證上的電子證書過期，我應如何將舊有用已過期電子證書加密的電子郵件解密？

每張智能身份證可儲存一張有效的電子證書（包括其相對應之配對密碼匙）及3條已過期電子證書之存檔私人密碼匙。你可使用存檔私人密碼匙將舊有已過期電子證書加密的電子郵件解密。

J-13 我可以怎樣刪除智能身份證上的電子證書？

如你刪除智能身份證上的電子證書，其對應的私人密碼匙會一併刪除。你可使用「e-Cert管理軟件」及你的智能卡閱讀器自行刪除智能身份證上的電子證書及對應的私人密碼匙。請注意：你將不能回復已從你的智能身份證內刪除的電子證書及私人密碼匙。

J-14 密碼信封有什麼用途？為何密碼信封上有兩個不同長度的密碼？

密碼信封上包含兩個不同長度的密碼。你需要使用8位數字的密碼方能使用智能身份證上的電子證書。而16位數字的密碼是用作使用電子證書儲存媒體上的證書（如磁碟、電子證書檔案卡電子證書檔案USB等）。

J-15 香港郵政核證機關在何時停止提供載入電子證書(個人)於智能身份證內及其相關服務?

由2018年7月30日起，香港郵政核證機關停止提供載入電子證書（個人）於智能身份證內及其相關服務。現時的智能身份證電子證書（個人）仍然可以繼續使用至此電子證書登記使用期屆滿或該身份證被替換為止。如有疑問，請致電香港郵政核證機關客戶服務電話2921 6633或電郵至[email protected]查詢。

J-16 若洩露其中一個密碼，需要撤銷證書嗎？

若你決定無須撤銷你的電子證書，你可立即更改你智能身份證及/或電子證書儲存媒體上的電子證書密碼。如你同時遺失你的智能身份證及/或電子證書儲存媒體及電子證書密碼，你應立即要求香港郵政撤銷你的電子證書（撤銷電子證書程序見問題22），以保障你的利益。

J-17 我的電子證書已載入智能身份證內。電子證書儲存媒體有什麼用途？

基於保安理由，智能身份證上的電子證書不能抄錄至其他儲存媒體以作後備。一旦遺失或損毀智能身份證，智能身份證上的電子證書及其私匙將不可作出修復。所以，電子證書也會儲存於申請人在申請表中所選擇的電子證書儲存媒體內（如電子證書檔案卡、電子證書檔案USB等）。若申請人的智能身份證遺失或損毀時，申請人仍可繼續使用儲存在電子證書儲存媒體內的電子證書。

J-18 若我已擁有由香港郵政發出存於電子證書儲存媒體上的電子證書，而我亦未曾申請將電子證書載入智能身份證內，我可否把這電子證書轉移到智能身份證內？

若你亦未曾申請將電子證書載入智能身份證內，存於電子證書儲存媒體上的電子證書不能載入智能身份證內。

J-19 什麼情形下需要撤銷證書？

若遇上以下情形，你應向香港郵政核證機關要求撤銷證書：

懷疑別人已持有你的智能身份證及電子證書密碼；
懷疑別人已持有你的電子證書儲存媒體及電子證書密碼；
你的智能身份證或你的電子證書儲存媒體已遺失。

J-20 我可否恢復已撤銷之電子證書於智能身份證內？

一經撤銷的電子證書將不能再恢復生效。你需重新申請新的電子證書使用。

J-21 撤銷電子證書的收費如何？

使用香港郵政的撤銷電子證書服務不須額外付費。

J-22 撤銷證書有什麼步驟？

你可以透過以下其中一種方式申請撤銷證書：

透過網頁遞交線上撤銷電子證書表格；
透過傳真至27759130遞交撤銷電子證書表格；
透過郵寄方式郵寄申請表至東九龍郵政局信箱68777號；
報失身份證時將撤銷電子證書表格直接投入設於人事登記處內的指定收集箱。

J-23 我如何防止其他人查取我的智能身份證電子證書資料？如我遺失智能身份證，我的個人資料會否洩漏給其他人？

你應該妥善保管你的智能身份證及不應洩露你的電子證書個人密碼予任何人。若你遺失智能身份證而電子證書內的密碼並未有其他人知道，其他人即使拾取你的智能身份證，亦不能查取電子證書上的資料。

J-24 我可否查取其他人的智能身份證的電子證書或私匙？

不可以，沒有有關的私人電子證書密碼是不可以查取其他人的智能身份證電子證書資料。

J-25 甚麼是e-Cert管理軟件Add-on Pack？我是否需要安裝此Add-on Pack？

e-Cert管理軟件Add-on Pack提供一個改良的PKCS#11模組配合智能身份證上的電子證書一起使用。因某些e-Cert應用程式可能運用了這個改良的PKCS#11模組，如您安裝了e-Cert管理軟件及Add-on Pack，您就可以享用更多的e-Cert應用程式。

若你未有安裝e-Cert管理軟件Add-on Pack（檢查是否已安裝e-Cert管理軟件Add-on Pack的方法見問題27），你可以考慮按你的操作平台下載及安裝現行版本的e-Cert管理軟件。e-Cert管理軟件Add-on Pack已包含在現行版本的e-Cert管理軟件安裝程式中。

J-26 從哪裡可以獲得e-Cert管理軟件Add-on Pack？

e-Cert管理軟件Add-on Pack包含在e-Cert管理軟件安裝程式中。您可以下載及執行e-Cert管理軟件安裝程式以安裝e-Cert管理軟件及Add-on Pack。

J-27 怎樣才能知道已安裝了e-Cert管理軟件Add-on Pack？

e-Cert管理軟件Add-on Pack已預設安裝於最新版本的e-Cert管理軟件中，及先前的版本2.1.8 Build 6或以上。

至於先前的版本2.1.6 Build 18，若已安裝了e-Cert管理軟件Add-on Pack，您可透過「開始 > 程式集 > Hongkong Post e-Cert > Add-on Pack 1 Readme」捷徑閱讀Add-on Pack Readme。除此之外，您亦可從「控制台 > 新增/移除程式」的目前安裝的程式中找到e-Cert管理軟件Add-on Pack。

若您不清楚正在使用的e-Cert管理軟件版本，請瀏覽檢查「e-Cert管理軟件」版本（圖像版）的提示。

J-28 e-Cert管理軟件支援Netscape Navigator 版本9或以上嗎﹖

由於Netscape Navigator自版本9開始在架構上的改變，此瀏覽器已不再兼容e-Cert管理軟件。因此，e-Cert管理軟件已停止支援版本9或以上的Netscape Navigator。或者你可選擇使用Mozilla Firefox，詳情請参閱有關Mozilla Firefox的用戶指南。

J-29 為甚麼即使已安裝適用於Windows Vista的e-Cert管理軟件，仍未能透過Windows Vista上的Internet Explorer於某些網上服務使用智能身份證電子證書﹖

對於某些有Java Runtime Environment (JRE)系統要求的網上服務，在Windows Vista平台上的JRE (JRE 6 Update 10的之前版本)和Internet Explorer 7存在已知的界面問題，並可能影響透過e-Cert管理軟件存取智能身份證電子證書。當你使用該些網上服務前，你須要安裝JRE 6 Update 10或較新版本。如你於個別網上服務使用智能身份證電子證書時遇到問題，可向有關的服務供應商查詢。

J-30 如果我在安裝e-Cert管理軟件過程中遇到錯誤訊息，我應該怎樣辦？

請致電客戶服務熱線2921 6633並提供有關錯誤訊息。

J-31 於2010年2月26日的中繼證書更替對使用智能身份證電子證書的登記人帶來什麼影響？

在中繼證書更替之後，電子證書（個人）之登記人需安裝或更新e-Cert管理軟件至版本2.1.8 Build 7或以上，以便繼續使用由新的中繼證書"Hongkong Post e-Cert CA 1 - 10"所簽發的智能身份證上的電子證書。

J-32 最新版本的e-Cert管理軟件支援什麼應用程式？

請参閱e-Cert管理軟件支援的應用程式。

J-33 我已安裝 e-Cert管理軟件，及使用Windows UI 的 Internet Explorer，為甚麼未能於某些網上服務中使用智能身份證內的電子證書？

由於Windows UI 的 Internet Explorer 不支援外掛程式，因此，在使用某些網上服務時， Windows UI 的 Internet Explorer未能透過e-Cert管理軟件讀取智能身份證內的電子證書。如需要在網上服務中使用智能身份證內的電子證書，請切換到可支援外掛程式的Internet Explorer (傳統型) 。

要切換至 Internet Explorer (傳統型) ，可於Windows UI 的 Internet Explorer，從 [頁面工具] 中選取 [在桌面上檢視]。

K. 電子證書（個人）續期

K-1 為什麼電子證書(個人)用戶在證書三年有效期屆滿時沒有收到電郵續期通知？

如果用戶沒有提供電郵地址或更改電郵地址時沒有通知香港郵政核證機關，則香港郵政核證機關沒法透過電郵通知用戶。用戶可致電客戶服務熱線29216633或發電郵至[email protected]查詢。

K-2 延長登記使用期與證書續期有甚麼分別？

「延長登記使用期」---- 電子證書（個人）用戶在證書三年有效期內，於證書每年登記使用期屆滿前，需要繳付年費HK$50，以延長登記使用期。否則，香港郵政會撤銷該電子證書使其終止有效。根據電子交易條例的規定，香港郵政會將已撤銷電子證書的序號載入「證書撤銷清單」內，並於香港郵政的網頁內公佈。用戶於延長登記使用期後，仍可繼續使用載於智能身份證或電子證書儲存媒體內的電子證書。用戶將不會獲發新密碼封套及電子證書儲存媒體。

「證書續期」---- 每張電子證書（個人）的有效期為三年，用戶在證書三年有效期屆滿前，需要辦理續期申請並繳付年費HK$50。用戶將獲發新的密碼封套及已續期的電子證書於用戶所選擇的電子證書儲存媒體內。

K-3 用戶該如何辦理續期？可透過甚麼途徑？

用戶可透過網上或親臨郵局辦理續期申請。但續期方法會因個別用戶需要而有所分別，詳情請参閱有關「電子證書續期」的網頁。

K-4 續期的電子證書（個人）的有效年期為多少？收費如何？

續期的電子證書（個人）有效年期為三年，登記使用期為一年。登記人需在每一年繳付年費及電子證書儲存媒體費用（如適用）。現行的證書續期費用及電子證書儲存媒體費用已載於香港郵政網站。

K-5 我可否一次過繳付三年登記使用期的費用？

不可。暫時登記使用期的費用需逐年繳交。

K-6 電子證書（個人）用戶續期時會否獲得新密碼信封？

用戶續期電子證書時會獲派發新密碼信封。

K-7 電子證書獲續期後，收到了新的密碼信封及電子證書儲存媒體，是否可以棄掉舊有電子證書的密碼及電子證書儲存媒體？

用戶需保存續期前的密碼信封及電子證書儲存媒體，以便使用續期前的電子證書。新的密碼信封會適用於儲存在已續期的電子證書儲存媒體。

K-8 續期的電子證書載入智能身份證後，它與舊有智能身份證電子證書是否並存於智能身份證內？

每張智能身份證只可儲存一張證書及其對應的配對密碼匙。每次將新的電子證書載入智能身份證時，舊有的電子證書將會被取替，但配對密碼匙則獲保留。

K-9 電子證書（個人）用戶可否於智能身份證電子證書有效期屆滿後，自行把另一載於電子證書儲存媒體內的電子證書（個人）重新載入智能身份證內？

可以。詳情請参閱有關「怎樣把電子證書載入智能身份證」的網頁。

K-10 用戶可循哪些途徑查詢有關電子證書事宜？

用戶可致電客戶服務熱線29216633、透過電郵至 [email protected] 或親臨任何一間郵局查詢有關電子證書事宜。

L. 電子證書檔案卡

L-1 我如何使用儲存於電子證書檔案卡上的電子證書？

你可以從香港郵政核證機關網頁下載電子證書檔案卡公用程式後，用適合智能身份證的智能卡閱讀器閱取電子證書檔案卡上的電子證書。如需要購買智能卡閱讀器，可以到香港郵政的網上商店「郵購網」選購合適的智能卡閱讀器。如要使用儲存於電子證書檔案卡上的電子證書，你需要匯出你的電子證書到所揀選的儲存媒體（例如USB儲存裝置或其他可移動儲存媒體）。詳情可參閱我們有關電子證書檔案卡公用程式的用戶指南網頁。

L-2 我可否更改存於電子證書檔案卡上的電子證書密碼？

可以。你可以從香港郵政核證機關網頁下載電子證書檔案卡公用程式，便能夠方便快捷地更改電子證書檔案卡上的電子證書密碼。如有需要更改已儲存在其他儲存媒體（例如USB儲存裝置或其他可移動儲存媒體）的電子證書密碼，你可以從香港郵政核證機關網頁下載更改電子證書檔案密碼程式。詳情可參閱我們有關電子證書檔案卡公用程式的用戶指南。

L-3 我如何將電子證書檔案卡上的電子證書載入到我的智能身份證上面？

如果你的智能身份證上已載有電子證書，你可以依照下列步驟將你的電子證書從電子證書檔案卡匯出至智能身份證上：

從香港郵政核證機關網頁下載電子證書檔案卡公用程式，然後匯出你的電子證書到所揀選的儲存媒體（例如USB儲存裝置或其他可移動儲存媒體）。
完成後，你可以從香港郵政核證機關網頁下載電子證書管理軟件來載入你的電子證書到智能身份證上。詳情可參閱我們有關電子證書管理軟件的用戶指南。

如有查詢，請致電客戶服務熱線2921 6633。

L-4 我可否移除存放於電子證書檔案卡內的電子證書？

不可以。用戶不可篡改電子證書檔案卡上的任何資料。

L-5 我可否將存放於電腦上的電子證書複製至電子證書檔案卡內？

不可以。用戶不可篡改電子證書檔案卡上的任何資料。

L-6 若我的電子證書檔案卡已損壞，不能讀取電子證書資料，而我亦沒有其他備份，我應怎樣做？

你可經香港郵政核證機關網頁要求撤銷你的電子證書，然後重新申請新的電子證書。你須要支付表格上定明的年費。

L-7 我從電子證書檔案卡匯出電子證書後，還要保存電子證書檔案卡嗎？

需要。我們建議你將電子證書從電子證書檔案卡匯出到其他的儲存媒體後，把電子證書檔案卡收藏好。日後一旦遺失了在其他的儲存媒體的電子證書，你還可以再次從電子證書檔案卡匯出你的電子證書到新的儲存媒體。

L-8 如果忘記了電子證書檔案卡上電子證書的密碼，我應該怎樣辦？

若你遺失了你的電子證書密碼，我們建議你撤銷你的電子證書，然後重新申請新的電子證書。你須要支付表格上定明的年費。

L-9 如果遺失了電子證書檔案卡，我應該怎樣辦？

基於保安理由，我們建議你撤銷你的電子證書，然後重新申請新的電子證書。你須要支付表格上定明的年費。

L-10 香港郵政核證機關在何時停止使用電子證書檔案卡作為電子證書儲存媒體？

由2019年2月1日起，香港郵政核證機關停止使用電子證書檔案卡作為電子證書儲存媒體。現時的電子證書檔案卡仍然可以繼續使用至此電子證書登記使用期屆滿。如有疑問，請致電香港郵政核證機關客戶服務電話2921 6633或電郵至[email protected]查詢。

L-11 什麼是電子證書檔案卡公用程式？

電子證書檔案卡公用程式是一套專門管理電子證書檔案卡上電子證書的軟件，用以匯出電子證書檔案卡內的電子證書至儲存媒體﹝如USB儲存裝置或其他可移動儲存媒體﹞及更改電子證書檔案卡上的電子證書密碼。此程式適用於運行Windows XP或以上的電腦。

L-12 我可以如何使用電子證書檔案卡公用程式？

請參閱香港郵政核證機關網頁內的電子證書檔案卡公用程式安裝及用戶指南。如有查詢，請致電客戶服務熱線2921 6633。

L-13 電子證書檔案卡需要具備什麼條件去運作？

電子證書檔案卡需要配合閱讀器及能在Windows XP或以上作業系統運行的電子證書檔案卡公用程式。

L-14 我可以用哪種閱讀器來讀取電子證書檔案卡上的電子證書？

你可使用同一個能讀取智能身份證的閱讀器來閱讀電子證書檔案卡上的電子證書。智能卡閱讀器應支援PC/SC驅動程式及符合智能卡界面標準ISO 7816規格。你可以瀏覽香港郵政的網上商店「郵購網」選購合適的閱讀器。

M. 電子證書檔案USB

M-1 什麼是電子證書檔案USB？

電子證書檔案USB是一款如信用卡大小的USB快閃記憶儲存媒體，是用來儲存香港郵政電子證書的儲存媒體，透過電腦的USB連接埠，可容易地讀取儲存在內的電子證書。

M-2 電子證書檔案USB的主要好處是什麼？

電子證書檔案USB的主要優點，是用戶可透過電腦的USB連接埠直接讀取儲存在內的電子證書，而無需安裝驅動程式，及無需要額外的設備，如智能卡閱讀器或軟磁碟機等。

M-3 我需要支付電子證書檔案USB的費用嗎？

電子證書申請人在申請電子證書時，可選擇以每件港幣40元的電子證書檔案USB作為電子證書儲存媒體。

M-4 軟磁碟在何時不再是電子證書儲存媒體的其中一個選擇？

香港郵政核證機關已由2013年4月1日起停止使用軟磁碟作為電子證書儲存媒體。

M-5 由於安全的理由，我的辦公室的電腦USB連接埠被禁用，我怎麼能讀取我的電子證書檔案USB內的電子證書？

我們建議您可聯絡您的資訊科技支援團隊，尋求他們的意見和協助。

M-6 電子證書檔案USB與電子證書檔案卡有什麼區別？

電子證書檔案卡是一種智能卡，需要一個智能卡閱讀器來讀取儲存在內的電子證書。電子證書檔案USB是一般的USB快閃記憶儲存媒體，可透過電腦的USB連接埠直接讀取儲存在內的電子證書，而無需要額外的設備。

M-7 我申請電子證書時沒有選擇電子證書檔案USB。在收到我的電子證書後，我可以選購電子證書檔案USB嗎？

不能。

N. 電子證書Token

N-1 什麼是電子證書Token？

電子證書Token是一種PKCS#11加密儲存媒體，是香港郵政電子證書（個人）/電子證書（機構）"互認版"的儲存媒體。用戶可透過電腦的USB連接埠直接讀取儲存在內的電子證書。

N-2 那一種類的香港郵政電子證書採用電子證書Token作為儲存媒體？

電子證書(個人)"互認版"及電子證書(機構)"互認版"只可儲存在電子證書Token (e-Cert Token)，而每份電子證書必須獨立存放於電子證書Token。

電子證書Token 每件為港幣290 元。

N-3 電子證書Token和智能身份證有什麼不同之處？

用戶可透過電腦的USB連接埠直接讀取儲存在電子證書Token內的電子證書，而無需要額外的設備。而智能身份證則需要一個智能卡閱讀器來讀取儲存在內的電子證書。

N-4 電子證書Token和電子證書檔案USB有什麼不同之處？

電子證書Token是一種便攜式PKCS#11加密儲存媒體，所儲存的電子證書不能被匯出到其他的儲存媒體上。電子證書檔案USB是一款如信用卡大小的USB快閃記憶儲存媒體，是用來儲存香港郵政電子證書的儲存媒體。電子證書檔案USB上的電子證書可以被匯出到其他的儲存媒體上。

N-5 怎樣讀取儲存在電子證書Token或智能身份證內的電子證書（個人）"互認版"電子證書？

N-6 由於安全的理由，我的辦公室的電腦USB連接埠被禁用，我怎麼能讀取我的電子證書Token內的電子證書？

我們建議您可聯絡您的資訊科技支援團隊，尋求他們的意見和協助。

N-7 我可否更改存於電子證書Token的密碼？

可以。你可以使用"SafeNet Athentication Client"軟件來更改電子證書Token的密碼。請參閱電子證書Token附帶的程式套裝。另可參閱相關用戶指南以獲得更多信息。

同時，請你小心保管你的電子證書Token的密碼，香港郵政核證機關將不會保留你的電子證書Token的密碼。密碼一旦丟失或忘記，基於保安理由，我們建議你撤銷你的電子證書，然後重新申請新的電子證書。。你須要繳交表格上定明的年費。

N-8 若我的電子證書Token已損壞，不能讀取電子證書資料，我應怎樣做？

你可經香港郵政核證機關網頁要求撤銷你的電子證書，然後重新申請新的電子證書。你須要繳交表格上定明的年費。

N-9 如果遺失了電子證書Token，我應該怎樣辦？

基於保安理由，我們建議你撤銷你的電子證書，然後重新申請新的電子證書。你須要繳交表格上定明的年費。

O. 電子證書（個人）"互認版"及電子證書（機構）"互認版"

O-1 電子證書（個人）"互認版"和電子證書（機構）"互認版"，有何好處？

電子證書（個人）"互認版"和電子證書（機構）"互認版"已被香港郵政指定參與《粵港兩地電子簽名證書互認辦法》下的證書互認計劃^註。證書獲Adobe®信任，適用於PDF文件簽署。

香港郵政已指定電子證書（個人）"互認版" 及電子證書（機構）"互認版" 參與《粵港兩地電子簽名證書互認辦法》下的證書互認計劃。有關具互認資格的特定證書類別及這些證書類別的互認識別方法，請參閱廣東省經濟和信息化委員會發布的官方信任列表(http://www.gdei.gov.cn/ywfl/xxh/201809/t20180930_130551.htm)，以確定證書類別是否具互認資格及其有效期。政府資訊科技總監辦公室亦會在其信任列表備存有關資料的副本，以供參考。

O-2 已擁有電子證書（個人）/電子證書（機構），現在想轉用電子證書（個人）"互認版"/ 電子證書（機構）"互認版"，應如何申請？

可以填寫（個人）"互認版"/ 電子證書（機構）"互認版"的申請表，到郵政局辦理手續及繳交費用即可完成申請。而原有的電子證書（個人）/電子證書（機構）可繼續使用至有效期完結，屆時亦可選擇申請績期。

O-3 電子證書（個人）"互認版"/ 電子證書（機構）"互認版"可提供的儲存媒體是什麼？

電子證書(個人)"互認版"及電子證書(機構)"互認版"只可儲存在電子證書Token (e-Cert Token)，而每份電子證書必須獨立存放於電子證書Token。

O-4 可以選擇將電子證書（個人）"互認版"/ 電子證書（機構）"互認版"儲存在電子證書檔案USB或電子證書檔案卡嗎？

不能。

O-5 如果忘記了我的電子證書（個人）/ 電子證書（機構）"互認版"的密碼，我應該怎樣辦？

你可經香港郵政核證機關網頁要求撤銷你的電子證書，然後重新申請新的電子證書。你須要繳交表格上定明的年費。

P. 電子證書（機構）"具自動交換資料功能"

P-1 我已擁有電子證書（機構），現在想轉用電子證書（機構）"具自動交換資料功能" ，應如何申請？

如現時的電子證書（機構）登記人欲在證書上增加具自動交換資料功能，須在證書續期時填妥電子證書（機構）"具自動交換資料功能"附加申請表格及電子證書（機構）續期表格，並附上有關的文件，到郵政局辦理手續及繳交費用即可完成申請。

P-2 我擁有的電子證書（機構）仍然現行有效，但未增加"具自動交換資料功能"，我能否使用該電子證書登入我在稅務局「自動交換財務帳戶資料網站」/ 「國別報告網站」的帳戶？

你需要申請電子證書（機構）"具自動交換資料功能"來登入稅務局「自動交換財務帳戶資料網站」/ 「國別報告網站」的帳戶。

P-3 如果我的機構沒有商業登記證，能否申請電子證書（機構）"具自動交換資料功能"？

如申報財務機構沒有商業登記證，但需要申請電子證書（機構）"具自動交換資料功能"來登入稅務局「自動交換財務帳戶資料網站」/「國別報告網站」的帳戶，該機構須提交由稅務局發出的證明文件副本來代替商業登記證以申請電子證書（機構）"具自動交換資料功能"。

Q. 電子證書（伺服器）

Q-1 在申請電子證書（伺服器）時，應申請那一項電子證書（伺服器）？

申請人可因應個別的需要，選擇所需的電子證書（伺服器），以下例子可供參考：

電子證書（伺服器）"通用版"：申請人擁有多個同一域名的伺服器名稱。例如發出予 *.eCert.gov.hk 的電子證書（伺服器）"通用版"，可用於以下所有伺服器名稱：
- www.eCert.gov.hk
- eCert.gov.hk
- mail.eCert.gov.hk
- www1.eCert.gov.hk
電子證書（伺服器）"多域版"：申請人擁有多個不同域名的伺服器名稱。例如一份電子證書（伺服器）"多域版"可識別以下不同域名的伺服器名稱：
- www.eCert.gov.hk
- eCert.gov.hk
- www.e-Cert.gov.hk
- www.eCert.hk
電子證書（伺服器）〔不屬於"通用版"和"多域版"〕：只能識別一個伺服器名稱。適合只有一個或少量伺服器。例如：
- www.eCert.gov.hk

Q-2 安裝SHA-256電子證書（伺服器）有何最低要求？

在常用的平台及應用上安裝SHA-256電子證書（伺服器）的最低配置要求如下：

系統平台/應用	最低配置
Windows Server	2003 SP2 + KB 938397
Apache Server	依據OpenSSL 的版本.（0.9.8o或以上）
Microsoft Exchange Server	依據Windows Server 的版本
IBM Domino Server	9.x 連同修復包
IBM HTTP Server	8.5 (附帶Domino 9)
Oracle Weblogic	10.3.1或以上版本

Q-3 在申請各類電子證書（伺服器）時，伺服器名稱有何限制？

電子證書（伺服器）〔不屬於"通用版"和"多域版"〕：只可登記一個伺服器名稱，並且不可有通配符("*")。
電子證書（伺服器）"通用版"：只可登記一個伺服器名稱，及伺服器名稱的最左邊部份指定為通配符("*")。
電子證書（伺服器）"多域版"：可登記多至50個伺服器名稱，及伺服器名稱不可有通配符("*")。

注意：所有登記的伺服器名稱，必須為申請人機構所擁有。

Q-4 電子證書（伺服器）"通用版"及"多域版"，有何好處？

電子證書（伺服器）"通用版"及"多域版"，有以下的好處:

電子證書（伺服器）"通用版"可用於登記人機構所擁有的同一域名或子域名的所有伺服器名稱。
電子證書（伺服器）"多域版"可用於多至50個由登記人機構所擁有的伺服器名稱，伺服器名稱更可屬於登記人機構所擁有的不同域名。
證書附有"數碼簽署"密碼匙使用方法，可用於伺服器驗證及與伺服器建立安全通訊通道。

因此，若申請人擁有多個同一域名或多個不同域名的伺服器名稱，電子證書（伺服器）"通用版"或"多域版"可更有效管理及更方便使用。

Q-5 如何上載電子證書（伺服器）"通用版"及"多域版"之「證書簽署要求」(Certificate Signing Request, "CSR")？其步驟與電子證書（伺服器）之「證書簽署要求」步驟是否不同？

電子證書（伺服器）"通用版"及"多域版"之「證書簽署要求」步驟和電子證書（伺服器）之「證書簽署要求」步驟相同，你只須要為每份所申請的證書上載一次「證書簽署要求」，不論你為電子證書（伺服器）"通用版"申請多少個"附加伺服器"或者為電子證書（伺服器）"多域版"申請多少個"額外伺服器名稱"，及你只需要在「證書簽署要求」輸入用作電子證書主體名稱的伺服器名稱，而不需要輸入任何"額外伺服器名稱"，在簽發證書時系統會自動加入所申請的"額外伺服器名稱"。有關「證書簽署要求」的詳情，請參閱電子證書（伺服器）用戶指南。

Q-6 電子證書（伺服器）"通用版"和"多域版"可用於多個伺服器上，那麼會簽發多少份證書給申請人？

所申請的每一份電子證書（伺服器）"通用版"或"多域版"，均只會有一份電子證書簽發給申請人，申請人可自行複製證書，用於所申請的相關伺服器上。

Q-7 可否申請一份電子證書（伺服器）同時具備"通用版"及"多域版"之特點？

不可以。一份電子證書（伺服器）只可具備"通用版"或"多域版"之其中一個特點。如申請人需要"通用版"及"多域版"之特點，可為相關伺服器申請兩份電子證書（伺服器）：一份"通用版"及一份"多域版"。

Q-8 在"搜尋及下載電子證書（伺服器）"的應用程式中，應使用哪一個伺服器名稱來搜尋電子證書（伺服器）"通用版"或"多域版"的證書？

在搜尋電子證書（伺服器）"通用版"的證書時，你可以搜尋帶有或不帶有通配符("*")部份的伺服器名稱。例如：若想搜尋發出予 *.eCert.gov.hk 的電子證書（伺服器）"通用版"，你可以搜尋 *.eCert.gov.hk 或 eCert.gov.hk 來搜尋及下載相關的電子證書（伺服器）"通用版"之證書。在搜尋電子證書（伺服器）"多域版"的證書時，你可以搜尋證書內所載的任何一個伺服器名稱，包括用作電子證書主體名稱的伺服器名稱或證書主體別名內的任何一個額外伺服器名稱，以搜尋及下載相關的電子證書（伺服器）"多域版"之證書。

Q-9 可否用IP地址（互聯網規約地址）代替伺服器名稱以申請電子證書（伺服器）？

所有電子證書（伺服器）均不接受IP地址作為伺服器名稱。

Q-10 如何計算電子證書（伺服器）"通用版"之"附加伺服器數量"？

每份電子證書（伺服器）"通用版"的登記費己包含證書在一台伺服器（預設伺服器）上使用之登記費。如證書需安裝在其他運作於預設伺服器操作系統以外之實體伺服器或虛擬伺服器上使用，則每個這樣的實體伺服器或虛擬伺服器便需要繳付相關登記費。

例子一：

電子證書（伺服器）"通用版"安裝在一台主要伺服器及一台備用伺服器上：總共安裝電子證書（伺服器）"通用版"之伺服器為兩台，而"附加伺服器"為一台。

例子二：

電子證書（伺服器）"通用版"安裝在一台實體伺服器及兩台虛擬伺服器上，而每台伺服器皆運作其個別的操作系統：總共安裝電子證書（伺服器）"通用版"之伺服器為三台，而"附加伺服器"為兩台。

Q-11 在申請電子證書（伺服器）"通用版"時，已登記附加伺服器數量，若在證書發出後，附加伺服器數量有所改變，應怎麼辦？

若附加伺服器數量有所增加，而證書仍在有效期內，申請人可以填寫申請表以增加附加伺服器數量，並只需繳付新增加的附加伺服器數量的相關費用。無論證書於何時在新增加的附加伺服器上使用，每台新增加的附加伺服器所需繳付的登記費必須覆蓋其電子證書整個有效期。而在證書續期時，便要填寫附加伺服器所需的總數量，並繳付電子證書續期費用，及附加伺服器總數的相關登記費。

若附加伺服器數量有所減少，登記人只可在證書續期時，更改所需的附加伺服器數量，並繳付電子證書續期費用，及附加伺服器總數的相關登記費。

已繳付的登記費用，並不會因登記人已減少附加伺服器數量，而有所退款。

Q-12 申請電子證書（伺服器）"通用版"時，伺服器名稱可否帶有多於一個通配符("*")？

不可以。一份電子證書（伺服器）"通用版"只可接受在伺服器名稱的完整格式網域名稱的最左邊部份帶有一個通配符("*")。

Q-13 電子證書（伺服器）"多域版"證書簽發後，可否增加／減少／更改其伺服器名稱？

不可以。電子證書（伺服器）"多域版"一經簽發，證書內所有伺服器名稱均不可更改。登記人可考慮申請另外一份的電子證書（伺服器），以應新的需要。

Q-14 可否只撤銷電子證書（伺服器）"多域版"的其中部份而非全部伺服器名稱？

電子證書（伺服器）"多域版"不接受只撤銷其中部份而非全部伺服器名稱。電子證書（伺服器）"多域版"一旦被撤銷，證書內之所有伺服器名稱都會被撤銷及失效。

Q-15 甚麼是核證機關授權記錄？

按照RFC6844文件所規定，核證機關授權記錄使得域名擁有者可以指定一個或多個認可的核證機關為該域名發出數碼證書。

Q-16 香港郵政如何在發出證書前檢查核證機關授權記錄？

香港郵政會對列於證書上的域名進行核證機關授權記錄的檢查。若核證機關授權記錄存在，但記錄並未將香港郵政之域名 "eCert.gov.hk" 或 "hongkongpost.gov.hk" 列入為獲授權證書發出人的域名，則其證書申請將不會被繼續處理。若列於證書上的域名並沒有核證機關授權記錄，且網域認可檢查沒有出現警告或錯誤信息，則香港郵政認為申請人同意讓香港郵政為其域名發出數碼證書。

Q-17 如何設定核證機關授權記錄來指定香港郵政為我的域名發出數碼證書？

你需要檢查你的域名系統是否已設定核證機關授權記錄，如沒有設定核證機關授權記錄，且網域認可檢查沒有出現警告或錯誤信息，則任何核證機關包括香港郵政可以為你的域名發出數碼證書。若你的域名系統已設定核證機關授權記錄，則你需要檢查並加入下列的核證機關授權記錄以指定香港郵政為你的域名發出數碼證書（以example.com為例）:

example.com. CAA 0 issue "eCert.gov.hk"
example.com. CAA 0 issue "hongkongpost.gov.hk"

Q-18 我可否為中文網域名稱申請電子證書（伺服器）？

可以。由2019年7月1日起，由根源證書CA3簽發的電子證書（伺服器）支援以 ISO/IEC 10646字元編碼的中文網域名稱。

Q-19 我可否申請一份顯示中文機構名稱的電子證書（伺服器）？

可以。由2019年7月1日起，在提交「證書簽署要求」(CSR) 時，登記人可選擇顯示中文機構及分行名稱之電子證書（伺服器）。唯證書一經發出，該項資料即不可更改。

有關「證書簽署要求」的詳情，請參閱電子證書（伺服器）用戶指南。

Q-20 甚麼是交叉證書"Hongkong Post Root CA 3"? 我是否需要安裝此證書?

此交叉証書有效期由2017年8月12日至2023年5月15日，由Hongkong Post Root CA 1簽發。持有2019年7月1日或以後簽發的電子證書（伺服器）的登記人，須進行以下改動，以便安裝了由Root CA3簽發的電子證書（伺服器）的網站繼續受到一般網頁瀏覽器的信任。

1. 在應用程式（例如網絡伺服器）安裝由根源證書 CA3簽發的中繼證書"Hongkong Post e-Cert SSL CA 3 - 17"。

2. 在應用程式（例如網絡伺服器）安裝由根源證書 CA1簽發的交叉證書"Hongkong Post Root CA 3"。

有關安裝根源證書指引，請參閱https://www.ecert.gov.hk/product/download/root/install_c.html

有關「交叉證書」的詳情，請參閱https://www.ecert.gov.hk/product/download/root/index_c.html

R. 銀行證書（個人／機構／銀行）

R-1 甚麼是核證登記銀行？

核證登記銀行是指依據香港法律第155章之銀行條例持有有效牌照的銀行，並已經在香港郵政核證機關登記成為銀行證書（銀行）的登記人。核證登記銀行是銀行證書（個人）或銀行證書（機構）申請人和登記人的代理人。

R-2 如何申請銀行證書（銀行）？

任何欲登記該服務之香港的持牌銀行需與香港郵政核證機關作出預先安排，香港郵政核證機關才可以為已登記之持牌銀行發出銀行證書（銀行）。有意申請銀行證書（銀行）的香港持牌銀行，可致電香港郵政核證機關熱線2921 6633或電郵至 [email protected]了解更多詳情。

R-3 如何申請銀行證書（個人） /銀行證書（機構）？

有興趣的申請人可直接向有關核證登記銀行查詢詳情。

R-4 2015年12月發出的新版銀行證書（個人）/銀行證書（機構）與2010年3月前發出的銀行證書（個人）/銀行證書（機構）有何不同？

銀行證書（個人）及銀行證書（機構）只能用於列載於銀行證書《核證作業準則》附錄 E 中該核證登記銀行名稱相對應的指明的交易。

由2010年3月31日開始，香港郵政核證機關已終止所有舊版銀行證書之核證登記機關運作，並停止發出舊版銀行證書。

R-5 香港郵政銀行證書密碼匙長度是多少？

香港郵政核證機關會簽發RSA密碼匙長度為2048位元的銀行證書（個人）/銀行證書（機構）/銀行證書（銀行）。

R-6 本人可申請多少份香港郵政銀行證書（個人）/銀行證書（機構）？

香港郵政沒有限制個人或機構申請銀行證書的數量，或個人或機構透過核證登記銀行申請銀行證書的數量。然而，有關核證登記銀行本身或有限制在其申請銀行證書的數量。

R-7 香港郵政銀行證書的有效期為多長？

銀行證書（個人）/銀行證書（機構）/銀行證書（銀行）之有效期由1至5年不等。

R-8 我能否更改證書上的資料？

銀行證書一經產生即不可更改。如果您更改了證書上的任何資料（如姓名或電子郵件地址），必須申請新的證書，同時亦應撤銷現行證書。詳情請向核證登記銀行查詢。

R-9 香港郵政核證機關支援什麼雜湊算法？

香港郵政核證機關所簽發的銀行證書（個人）/銀行證書（機構）/銀行證書（銀行）將預設為SHA-256。

R-10 銀行證書與其他電子證書在功能上有何不同？

香港郵政核證機關透過核證登記銀行簽發之銀行證書（個人）/銀行證書（機構）只是給登記人用於列載於銀行證書《核證作業準則》附錄 E 中該核證登記銀行名稱相對應的指明的交易。

R-11 如何撤銷香港郵政銀行證書？

銀行證書（個人）/銀行證書（機構）撤銷要求

可透過傳真、郵寄信件、電子郵件或親身前往核證登記銀行的方式提出撤銷證書要求以及隨後的最後確認，方式取決於所聯繫之核證登記銀行能接納的方式而定。核證登記銀行會將撤銷證書要求轉遞給香港郵政。

銀行證書（銀行）撤銷要求

關於撤銷銀行證書（銀行）的申請，銀行證書（銀行）之核證登記銀行的獲授權代表須提前至少一個月透過傳真、郵寄信件、電子郵件或親身向香港郵政核證機關提出撤銷證書之要求以及隨後的最終確認。

S. 香港郵政根源證書 (Root CA 1) 更替

S-1 為什需要更替根源證書 "Hongkong Post Root CA 1"？

根源證書"Hongkong Post Root CA 1" 有效期為二十年（2003年5月15日- 2023年5月15日），他的私人密碼匙用作簽發中繼證書，此等中繼證書用於簽發香港郵政電子證書。由於香港郵政電子證書的最長有效期為4年，為可持續簽發長達4年有效期的電子證書，香港郵政核證機關需要在現有根源證書到期前更替新的根源證書。新的根源證書必須在現行證書有效期屆滿4年前開始運作，以能使其中繼證書繼續簽發長達4年的證書。

S-2 根源證書更替後的證書簽發及撤銷的安排會是怎樣？

現有的根源證書Root CA1及其中繼證書會分別停止簽發新中繼證書及新電子證書，新根源證書Root CA2及Root CA3會用作簽發新的中繼證書及新的電子證書。而現時根源證書擁有之中繼證書，將會繼續撤銷其所簽發的證書及產生其各自的證書撤銷清單（CRL），直到其有效期屆滿為止。

S-3 根源證書的替換對電子證書登記人有什麼影響？

即使根源證書更替後，登記人仍可繼續持有及使用根源證書更替前所簽發的認可證書，直至其使用期屆滿。

根源證書更替後，登記人可能需要安裝新中繼證書SubCA SSL CA3-17以認可其電子證書（伺服器）。登記人亦可能需要在其應用程式(例如瀏覽器或伺服器) 安裝新根源證書Root CA2，中繼證書SubCA 2-15 或 SubCA 2-17以認可其他種類的電子證書。安裝那張中繼證書去識別新的證書鏈，需視乎登記人證書的種類。

S-4 申請及撤銷電子證書的程序會否因根源證書更替而有所改變？

電子證書的申請及撤銷程序在根源證書更替後將維持不變。

S-5 我們的應用系統支援香港郵政電子證書，我們可否在根源證書更替前，要求測試證書及證書撤銷清單作系統測試？

應用系統供應商可致電香港郵政核政機關客戶服務電話 2921 6633或電郵至[email protected]查詢要求提供測試用的證書，證書撤銷清單及儲存庫查閱服務的事宜。

S-6 在完成根源證書更替後，現有根源證書是否會繼續更新及發佈授權撤銷清單（ARL）？

在完成根源證書更替後，現有的根源證書會繼續更新及發佈授權撤銷清單（ARL），直至2023年5月15日其有效期屆滿為止。

S-7 根據更替根源證書"Hongkong Post Root CA 1"的實施計劃，由2019年2月1日至2019年3月31日期間, 除了政府政策局/部門的電子證書(機構)會由根源證書Root CA1簽發外，相關指定政府電子服務的電子證書登記人，其電子證書(個人) 及電子證書(機構)亦會由根源證書Root CA1簽發。香港郵政核證機關備存指定政府電子服務清單，各政策局/部門如需要將其電子服務包括在清單內須與香港郵政核證機關商討。香港郵政核證機關備存的清單有那些指定的政府電子服務？

香港郵政核證機關備存的指定政府電子服務清單，包括 (1)政府電子貿易服務 (包括：進出口報關單，貨物艙單，應課稅品許可證及產地來源) ; (2)戰略物品許可證電子服務。

| 返回 | 頁首 |

| 翹晉電子商務有限公司 |香港郵政 |

頁尾