建立和安裝簽章憑證
本節說明可提供「無可否認性」並用來驗證簽署者的簽章憑證。
入埠簽章憑證
「文件管理程式」採用參與者所簽署的憑證,
以便在您接收文件時用來驗證傳送端的簽章。參與者是以
X.509 DER 格式傳送其自簽的簽章憑證給您。接著,
您透過「社群主控台」將參與者的憑證安裝在個別參與者的設定檔下。
若要安裝憑證,請使用下列程序。
- 接收採 DER 格式的參與者 X.509 簽章憑證。
- 透過「社群主控台」將憑證安裝在參與者的設定檔下。
- 按一下帳戶管理 > 設定檔 > 社群參與者,並搜尋參與者的設定檔。
- 按一下憑證。
- 按一下載入憑證。
- 選取數位簽章,作為憑證類型。
- (必要)輸入憑證的說明。
- 將狀態改為已啟用。
- 按一下瀏覽,導覽至儲存該憑證的目錄。
- 選取憑證,並按一下開啟。
- 按一下上傳,然後按一下儲存。
- 如果憑證是由 CA 所簽,
而屬於憑證鏈一部分的 CA 根憑證和任何其他憑證未安裝在「中心操作員」設定檔中,
此時請安裝該憑證。
- 按一下帳戶管理 > 設定檔 > 憑證,顯示「憑證清單」頁面。
請確定您是以「中心操作員」身分登入「社群主控台」,並將憑證安裝在自己的設定檔中。
- 按一下載入憑證。
- 選取根和中繼。
- (必要)輸入憑證的說明。
- 將狀態改為已啟用。
- 按一下瀏覽,導覽至儲存該憑證的目錄。
- 選取憑證,並按一下開啟。
- 按一下上傳,然後按一下儲存。
註: 如果 CA 憑證已安裝,則不需執行上述步驟。
- 在資料包(最高層次)、參與者或連線層次(最低層次)下啟用簽署。您的設定可置換連線層次下的設定。連線摘要會通知您是否有遺漏任何必要的屬性。
舉例來說,若要改變參與者連線的屬性,
請按一下帳戶管理 > 參與者連線,然後選取參與者。按一下屬性,
然後編輯屬性(例如 AS 簽署)。
離埠簽章憑證
「文件管理程式」會在傳送已簽署的離埠文件給參與者時,使用這份憑證。所有埠和通訊協定皆採用同一份憑證和金鑰。
您可有一份以上的數位簽章憑證。一份是主要憑證,
依預設,會使用這份憑證。另一份是次要憑證,一旦主要憑證到期或者無法使用時,
便會使用此憑證。
使用自簽憑證
如果您要使用自簽憑證,請使用下列程序。
- 啟動 iKeyman 公用程式。
- 使用 iKeyman 產生一份自簽憑證和金鑰組。
- 使用 iKeyman 將要含有您公開金鑰的憑證擷取到檔案中。
- 將憑證配送給您的參與者。較好的配送方法是將憑證放在一個有密碼保護的壓縮檔中,
並透過電子郵件傳送。您的參與者必須和您聯絡,並要求取得該壓縮檔的密碼。
- 使用 iKeyman 採 PKCS12 檔格式來匯出自簽憑證和私密金鑰對組。
-
請透過「社群主控台」,
安裝採用 PKCS12 檔格式的自簽憑證和私密金鑰對組。
- 按一下帳戶管理 > 設定檔 > 憑證,顯示「憑證清單」頁面。
請確定您是以「中心操作員」身分登入「社群主控台」。
- 按一下載入 PKCS12。
附註:
- 要上傳的 PKCS12 檔應只含有一個私密金鑰和相關聯的憑證。
- 您也可以將憑證和私密金鑰上傳成
DER 加密憑證和 PKCS#8 加密私密金鑰。
- 選取數位簽章,作為憑證類型。
- (必要)輸入憑證的說明。
- 將狀態改為已啟用。
- 按一下瀏覽,導覽至儲存該憑證的目錄。
- 選取憑證,並按一下開啟。
- 輸入密碼。
- 如果您有兩份數位簽章憑證,請從憑證用法清單中選取主要或次要,
以指出此為主要或次要憑證。
- 按一下上傳,然後按一下儲存。
- 如果參與者有第二份簽章憑證,請重複步驟 6。
如果您要針對 SSL 用戶端和數位簽章兩者上傳主要和次要憑證,
且您將主要憑證上傳成兩個個別的項目,
則相對應的次要憑證也必須上傳成兩個不同的項目。
使用 CA 簽署的憑證
如果您要使用 CA 簽署的憑證,請使用下列程序:
- 啟動 iKeyman 公用程式。
- 使用 iKeyman 為「接收端」產生一項憑證要求和金鑰組。
- 將「憑證簽署申請 (CSR)」送出給 CA。
- 在您收到 CA 簽署的憑證時,請使用 iKeyman 將已簽署的憑證放到金鑰儲存庫中。
- 將簽署的 CA 憑證配送給所有參與者。
