底下是自己有使用的部分,給大家參考;
若內容有誤還請糾正,謝謝。
======================================
在 mozilla 1.4 上使用自然人憑證對郵件簽章
1. 到內政部憑證管理中心(
http://moica.nat.gov.tw )申請自然人憑證,相關申請手續請詳見該站。
2. 也是在內政部憑證管理中心的『儲存庫』下載 SafeSign CSP 這套軟體,需要使用該軟體提供的一個 dll 檔讓 mozilla 可以讀取 IC 卡。
3. 安裝 SafeSign CSP ,安裝說明可以上述同一個頁面找到(http://moica.nat.gov.tw/html/cover05_03.htm),但是在說明的最後一點有點錯誤,重開機之後要再把卡片拔出再插入,不然是不會去讀取 IC 卡的。(這是我遇到的情形,傻傻的等了進 10 分鐘...)
4. 安裝完 SafeSign CSP 之後,到『開始/程式集/SafeSign Version 1.0.8』執行『Install SafeSign in Netscape』,執行後會出現找不到 Netscape 的視窗,此時按『瀏覽』指向 mozilla 的安裝路徑,並點選 mozilla.exe。接下來會出現要安裝一個 aetpkss1.dll 的檔案,按確定(ok)即可;然後會出現安裝成功的畫面( A new security module has been installed )。
5. 接著到 mozilla 的『Edit/Perferences/Privacy & Security/Certificates』(編輯/個人設定/隱私及安全性/憑證/)在右邊的選項中選擇『Manage Security Devices...』,然後在右邊窗格確認是否已安裝『AET SafeSign PKCS#11 Library/CASTLES EZ100PU 0』,若無的話則第四個步驟要重做。
(CASTLES EZ100PU 0 指的是使用的讀卡機,若不是用自然人憑證賣的讀卡機則這邊會有不同)
6. 將申請的自然人憑證 IC 卡插入讀卡機,點選 『AET SafeSign PKCS#11 Library/CASTLES EZ100PU 0』然後在右邊的選項中按『Load』,此時原本顯示讀卡機 CASTLES EZ100PU 0 會變成 CHT Card 。接著點選『CHT Card』,此時請點選右邊的選項『Log in』,接著會要求輸入 IC 卡密碼,請輸入自己的自然人憑證 IC 卡密碼(原始密碼是個人出生年月日共六位數,不過各位使用的人應該會改吧!),接著就會自動匯入自己的自然人憑證,點選『OK』離開 Device Manager 。
7. 此時會回到『Certificates』的畫面,接著點選『Manage Certificates...』(管理憑證)在 Your Certificates 中會看到自己的憑證,但 Purpose 的地方則是顯示 Issuer Unkonwn ,這是因為還沒安裝內政部憑證管理中心的自簽憑證的關係。
8. 到內政部憑證管理中心下載 MOICA 憑證,也就是內政部憑證管理中心的自簽憑證。
(
http://moica.nat.gov.tw/repository/Certs/MOICA.cer
若用 mozilla or Firebird 下載,請按右鍵另存新檔,不然會直接開在視窗中)
9. 回到剛剛的畫面(Certificate Manager),點選 Authorities 標籤頁,接著按 Import ,匯入 MOICA 憑證。此時會出現一畫面選擇匯入的憑證用途,共有三項,主要是選則是否信任該憑證中心所核發的憑證用途(網站、電子郵件、軟體),這邊全部勾選然後按 ok 。(按 view 可以先檢視匯入的憑證內容,裡面若有看到亂碼的話沒關係,不影響後續使用)
10.接著在點選『Your Certificates』標籤頁,可以看到剛剛匯入自己的憑證在 Purpose 的地方顯示用途,兩張匯入的憑證用途分別是『Server, Encrypt』、『Client, Sign』,此時就快大功告成了。
11.接著回到『Perferences』畫面,按『ok』(確定)離開。
12. 開啟『Edit/Mail & Newsgroups Account Settings』,選擇所使用的郵件信箱(此郵件信箱必須與申請自然人憑證時所用的是同一個),接著選擇該郵件信箱設定的『Security』
13.在右邊的選項『Digital Signing』中先按『Select...』選擇使用的憑證,此時應該只有一張憑證可供選擇,就是第十步驟中 purpose 為『Clien, Sign』的憑證,接著按『OK』(確定);此時會出現一視窗詢問是否使用同一張憑證來做加/解密郵件,這邊選『Cancel』(否)。因為要用來家/解密的憑證是另一張 Purpose 為『Server, Encrypt』的憑證。
14.回到『Security』(安全性設定)的視窗,此時將『Digitally sign Messages(by default)』的選項勾選,這樣將來寄信時就都會自動替信件做簽章的動作,不然就要每次寄信時再去選擇『Digital sign this message』。此時就算大功告成了,將來寄信若要簽章的話就是使用該張憑證。
15.若希望以後在寄送郵件時能夠將郵件加密,則在『Security』視窗中為Encryption 選一張憑證,步驟同 12 ,但選擇的憑證是另一張(和步驟 12 中的憑證不同張),按『OK』(確定)離開。此時會出現一視窗詢問是否用同一張憑證對郵件簽章,一樣選『Cancel』(否)。到這邊設定就都完成了,但請注意,要使用加密功能時,必須收、發信件的雙方都有使用數位憑證,若只有單方有數位憑證,則只能對郵件簽章不能加密。
16.最後,使用憑證對郵件簽章時,請勿必要請收信方去下載安裝內政部憑證管理中心的自簽憑證,也就是步驟 8 所提到的,否則每當收信方收到發信方寄送含有數位簽章的郵件時,都會顯示『此憑證無效』或是『該憑證是由不受信賴的憑證中心所發出』之類的警告訊息。所以為避免這類警告訊息的出現請務必告知你的朋友要安裝內政部憑證管理中心的自簽憑證。
Ps. 使用簽章或加密時,記得要把 IC 卡插到讀卡機裡面,不然會出現找不到憑證的訊息而無法寄信。 而每次將 IC 卡插入讀卡機要存取 IC 卡時,都會要求輸入密碼確認,若是 IC 卡是一直插著就不會再出現 輸入密碼的視窗。(建議不要為了怕麻煩而一直將 IC 卡插著)
相關網站參考:
政府總憑證管理中心
http://grca.nat.gov.tw
內政部憑證管理中心
http://moica.nat.gov.tw
政府憑證管理中心
http://gca.nat.gov.tw
Ps1. 目前此功能無法用在 Thunderbird 上,因為 Thunderbird 雖然有可以選擇簽章憑證的選項,但沒有管理憑證的選項。
Ps2. 另外有做了一個相同內容但有加上圖片的頁面,有需要的請到底下:
http://home.so-net.net.tw/isaackuo/mozilla/install_cert.html