| 熱門問答集 |
-
1.
教學專區的影片檔無法正常觀看顯示出"已不再支援 Adobe Flash Player"
|
|
因微軟已不支援Flash,瀏覽器需下載擴充元件"Ruffle"
https://chrome.google.com/webstore/detail/ruffle/donbcfbmhbcapadipfkeojnmajbakjdc
|
-
2.
請問Hisecure 需要費用嗎?
|
|
Hisecure API套件是完全免費的
|
-
3.
Hisecure程式開發套件會員,能修改會員資料嗎?
|
|
目前本系統未開放自行修改會員資料,請參考「申請註冊」頁面的欄位(提示插卡的訊息可以先打x取消),來信提供貴公司名稱、統一編號,及欲修改之欄位名稱和欄位內容及修改原因,由服務人員為您更改。
|
-
4.
點選壓縮圖示無法下載資料
|
|
可以嘗試複製連結,再貼在網址列中即可下載
|
-
5.
申請註冊會員或登入時,輸入卡片PIN碼後,按下送出鍵卻沒有反應?
|
|
請連結至以下網址,安裝此元件:
Windows版請下載此檔案
; 其他作業系統版本請此連結
|
-
6.
請問HiSecure 套件提供哪些功能?
|
|
HiSecure 主要提供下列功能:
1.IC卡操作,包含基本簽章、解密、讀取憑證 。
2.憑證解析及驗證 。
3.CRL解析及驗證 。
4.OCSP操作。
|
-
7.
請問安全保密函式庫之語言及編譯平台版本?
|
|
1.安全保密函式庫使用C語言與Java語言撰寫,都可在Windows與Linux與MAC平台編譯。
2.安全保密函式庫最新版本C語言為HiSecure_9.0.1,JAVA語言為HiSecure_2.2.0,C語言版本係使用C++語言開發,並提供跨平台支援能力,包括Java(透過JNI的呼叫方式)、WinX32、WinX64(直接使用或是再包裝成DLL、ActiveXCOM元件均可)、LINUX等系統(提供相同函式介面之該平台API)環境均可支援。
以下為編譯環境:
2.1 Windows平台之編譯環境:Windows作業系統 Visual Studio C++ 6.0以上。
2.2 LINUX平台之編譯環境:Linux CentOS 2.6.18-92.el5 Gcc Version 4.1.2 20071124(Red Hat4.1.2-42)。
3安全保密函式庫Java語言版本2.2.0可以適用於 WinX32、WinX64 / LinuxX32 / MAC 等環境。編譯環境包含
3.1Windows平台之編譯環境:JDK1.4.2以上
3.2LINUX平台之編譯環境:JDK1.4.2以上
|
-
8.
請問如何登入?
|
|
請至Hisecure首頁左上方進行登入,需插入當初申請會員的憑證卡片並輸入PIN碼
***特別注意***:每次登入都需要插入憑證卡片
|
-
9.
請問如何申請為HiSecure會員?
|
|
請點選頁面上方的申請註冊,加入會員前請先插入卡片且輸入PIN碼; * 部分請務必填寫,填寫完畢上傳後,經審核通過者,將收到由HiSecure API技術客服中心信箱所寄發的核可通知書。
***特別注意***:
1.本系統只接受GCA(政府憑證)、XCA(組織團體憑證)、MOEACA(工商憑證)含正附卡憑證才能進行註冊。
2.本系統不再接受使用公文方式,全部改用憑證方式申請。
3.申請人註冊完成後,需要審核通過才能登入。
4.自然人憑證及醫事憑證無法註冊申請
|
-
10.
請問目前Hisecure API的版本有哪些?
|
|
HiSECURE API C語言:
版本:HiSecure_8.0.0_GPKI for_C語言_API_標準版。
支援SHA2系列雜湊演算法。
可支援新版SHA256憑證。
支援系統:Win32、WinX64、Linux32、Linux64、MAC。
版本:HiSecureAPI_C語言_9.0.1
支援SHA2系列雜湊演算法。
可支援新版SHA256憑證。
支援系統:Win32、WinX64、Linux32、Linux64、MAC。
Hisecure API Java語言:
版本:Hisecure _2.2.0_for_JAVA語言。
支援SHA2系列雜湊演算法。
支援系統:WinX32、WinX64、Linux32、MAC 等環境。
https://api-hisecurecdn.cdn.hinet.net/HiSECURE C&C++ API標準版版本更新歷程表.doc
|
| 問答集 |
-
1.
身分確認服務系統 開發語言:Java語言 錯誤碼-4 錯誤說明: SSL通道建立失敗,錯誤訊息如果顯示:
java.io.IOException: HTTPS hostname wrong: should be <61.60.9.50>
|
|
請先將原本ICS主機的IP:61.60.9.50 改成 domin: ics-moica.moi.gov.tw
|
-
2.
身分確認服務系統 開發語言:Java語言 錯誤碼-4 錯誤說明: SSL通道建立失敗,錯誤訊息如果顯示: sun.security.validator.ValidatorException: PKIX path building failed
|
|
緣由:MOICA身分確認服務系統主機SSL憑證發行單位異動,才會導致連線失敗情況例外錯誤訊息:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target,建議做法更新GTLSCA自身憑證就可以正常連線。
建議操作方式步驟:
1. GTLSCA自身憑證下載點:https://api-hisecurecdn.cdn.hinet.net/icsexample/GTLSCA_All.zip
2. 將GTLSCA.crt拷貝到 %JAVA_HOME%/jre/lib/security的目錄下。
3. 開啓Dos視窗並變更目錄到 %JAVA_HOME%/jre/lib/security。
4. 輸入keytool -import -file GTLSCA.crt -alias gtlsca -keystore cacerts -trustcacerts
5. 執行以下命令: (內定的密碼為changeit) 。
6. 輸入Y ,就會新增到cacerts內。
註:你可以用以下的命令看到剛剛匯入的GCA憑證(別名即為gtlsca)
keytool -list -keystore cacerts
|
-
3.
如何透過OPENSSL將私密金鑰與公開金鑰轉換成軟體憑證(PKCS#12)?
|
|
1.建立私密金鑰
openssl genrsa -des3 -out ClientCA.key 2048
2.產生請求檔案,申請非IC卡憑證或申請伺服器憑證
openssl req -new -key ClientCA.key -out ClientCA.txt
3.如何建立(PKCS#12)軟體憑證檔案
openssl pkcs12 -export -out exported.pfx -inkey ClientCA.key -in ClientCA.cer
PS: ClientCA.cer 檔案必須根據第二點取得ClientCA.txt請求檔案到GCA、MOECAC、XCA網站申請憑證下來的檔案。
PS:前提須要先取得 非IC卡憑證 或 申請伺服器憑證檔案(cer),要將此憑證轉成Base64編碼才能建立軟體憑證檔案,如果沒有轉換的話會出現 此訊息 unable to load certificates
|
-
4.
請問使用新的自然人Sha2RSA TP卡片執行簽章時,是否一樣能相容使用之前舊的Sha1RSA演算法進行簽章?
|
|
sha1withRAS演算法與sha2withRSA演算法在新的卡片上都是支援的。
|
-
5.
請問如何申請MOICA線上身分確認服務
|
|
請至身分確認服務頁面參照申請程序
1.請到身分確認服務->應用服務 ->身分確認服務申請 -> 身分確認服務系統申請要點
2.申請伺服器應用軟體憑證選擇
(1)GCA申請伺服軟體憑證,相關申請程序請至「伺服器應用軟體憑證」憑證申請->點選專屬類憑證的申請。
(2)機關(構)如為受金融監督管理委員會監督之金融服務業應向工商憑證管理中心(MOEACA)申請伺服器應用軟體憑證,相關申請程序請至「非IC卡類」憑證申請。
(3)機關(構)如為受金融監督管理委員會監督之金融服務業應向組織與團體憑證管理中心(XCA)申請伺服器應用軟體憑證,相關申請程序請至「非IC卡類」憑證申請。
3.由應用系統主管機關向內政部提出使用MOICA身分確認服務的申請,申請時應提交以下資料:
(1)應用系統主管機關申請MOICA身分確認服務的公文。其中說明該應用系統的服務概況及為何必須申請此項服務。
(2) 應用系統的GCA伺服軟體憑證電子檔或是正確的憑證序號,以便可以正確查詢及下載該憑證。
(3) 應用系統對於身分確認服務所取得個人隱私資訊之保護措施或隱私保護政策的說明文件。
(4) MOICA審核通過後, 則會回文說明何時對該應用系統開放服務。
***特別注意***:
用戶申請身分確認服務時要請用戶注意伺服器憑證的有效期限,提醒用戶憑證到期前要重新申請憑證及申請身分確認服務
|
-
6.
外國人自然人憑證和本國自然人憑證的欄位差異
|
|
(1)外來人口與本國自然人憑證,欄位差異處:
在 SubjectDirectoryAttributes 欄位 的subjectType這個項目中:
本國自然人是:OID id-chtpki-et-citizen (2.16.886.1.100.3.1.1) , 此OID表示憑證Subject的類別為國民
外來人口是:OID id-chtpki-et-alienResident (2.16.886.1.100.3.1.9) , 此OID表示憑證Subject的類別為外來人口自然人
在SubjectDirectoryAttributes欄位的tailOfPersonalID這個項目中:
本國自然人是:取身分證號末4碼(例如:身分證字號為A123456789則此欄填入6789)
外來人口是:取居留證號末4碼(例如:居留證號為AA12345678,則此欄填入5678)
由於身分證號與居留證號都為個人隱私資料,故不於憑證中公佈其全部的號碼,只取末幾碼
(2)本國人和外國人的自然人憑證:預設都是E-mail不寫入憑證,之後可再把申辦將E-mail寫入憑證
|
-
7.
什麼是CRL、OCSP?
|
|
CRL:中文名稱:憑證廢止清冊、英文全名: Certificate revocation list、縮寫 : CRL
目的是提供尚未到期就被憑證管理中心吊銷憑證的名單。這些憑證在吊銷列表中的話,該憑證就是不會受到信任的憑證,憑證管理中心會固定某一個時間會發佈新版CRL檔案,提供需要的驗證單位去下載此檔案,須注意可能會有時間差的問題。
OCSP:中文名稱: 線上憑證狀態協定、英文全名:Online Certificate Status Protocol,縮寫:OCSP
目的是提供可以線上即時查詢服務,就可以馬上知道該憑證是否已被憑證管理中心吊銷憑證狀態
|
-
8.
醫院沒有GCA、MOEACE、XCA,如何註冊Hisecure會員?
|
|
無法以HCA註冊,但可申請XCA來註冊。可去電XCA確認只要有立案證書和開業證明,各級醫院包括醫學中心、診所,都可以申請XCA。
https://xca.nat.gov.tw/web2/index.html
|
-
9.
身分確認服務系統 開發語言:Java語言 錯誤碼-4 錯誤說明: SSL通道建立失敗,叫用iQuery方法時發生異常
|
|
(1)將原本舊系統/jre/lib/security的目錄下的US_export_policy.jar及local_policy.jar這兩個檔案,複製到新系統置換
(2)將原本舊系統/jre/lib/ext的目錄下的bcprov-jdk16-145.jar這一個檔案,複製到新系統置換
(3)將原本舊系統/jre/lib/security的目錄下的java.security這一個檔案,複製到新系統置換主要是檔案中要新增一行字串,如下
security provider.2=org.bouncycastle.jce.provider. BouncyCastleProvider
security provider.1-sun.security.provider.Sun
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security provider.4=com.sun.rs ajca.Provider
security provider.5=com.sun.crypto.provider.SunJCE
security provider.6=sun.security.igss.SunProvider
(4)將原本舊系統/jre/lib/security的目錄下的cacerts這一個檔案,複製到新系統置換 (原本的先備份)
|
-
10.
HiCOS及跨平台網頁元件靜默移除指令
|
|
1.HiCOS靜默移除指令:
HiCOS_Client.exe /uninstall /quiet /norestart
2.跨平台網頁元件靜默移除指令:
unins000.exe /silent
(unins000.exe位置:C:\Program Files (x86)\HiPKILocalSignServer)
[註]目前HICOS(含跨平台網頁元件)的安裝包,在安裝時會同時移除舊版,若無特殊需求請不要單獨使用移除指令。
|
