問與答

中繼憑證模式是指中華電信透過 GlobalSign 的根憑證，建立一條專屬的中繼憑證鏈，由中華電信協助GlobalSign核發與管理用戶的 TLS 憑證。與直接向 GlobalSign 申請相比，用戶仍享有同樣的國際信任度與瀏覽器相容性，驗證會由GlobalSign負責，但在客服與技術支援上會由中華電信直接服務。

您向本中心申請TLS憑證後，就可以在網站或硬體裝置上安裝TLS憑證。這時瀏覽器的右下角或是網址列會有一個金色的鎖型圖示，這就表示資料傳輸已受到了TLS 高安全加密程序的保護了。

是的，因為中繼憑證是掛在 GlobalSign 國際信任的根憑證下，瀏覽器、作業系統、行動裝置都能自動信任，與直接購買 GlobalSign 憑證相容性完全相同。

TLS憑證可用於建立瀏覽器和網站伺服器之間的安全通道，提供伺服器的身分鑑別及資料傳輸加密。透過TLS協定建立安全通道，保護網路使用者所傳輸的個人資料(如信用卡號、帳號、密碼等)在傳輸過程中不被駭客截取或竄改，保護網站用戶個人資料，強化網路使用者對於網路交易信心。

核發流程與 GlobalSign 相同，中華電信會協助用戶執行組織驗證、網域驗證程序，以加速申請流程。

SAN 憑證在業界也稱為聯合通訊憑證 UC 憑證，其中，UC 是 Unified Communication 之縮寫，SAN 是憑證主體別名(Subject Alternative Name)之縮寫。中華電信所販售的 SAN 憑證預設只記載1個完全網域名稱(Fully-Qualified Domain Name) 於憑證主體別名(Subject Alternative Name)之憑證擴充欄位，並可視需要於首次申請時再額外申請增加註記的網域名稱數量，每張多網域 TLS 憑證最多可包含 99 個網域名稱。適合企業提供給 Exchange Server、Lync Server、Unified Communication Server、Office Communications Server 使用，或者當企業需要同時架設多個 TLS 網站時，亦可選用多網域 TLS 憑證，可節省建置經費。

當申請超過 1 個網域名稱時，需要再額外申請單個網域名的授權使用費，敬請參考TLS 憑證定價網頁說明選購。

本中心的萬用網域 TLS 憑證(Wildcard TLS Certificates)提供給單一網域(Domain Name)，無限個次網域(Sub-Domain)的網站使用。

亦即萬用網域 TLS 憑證可在憑證中記載含有萬用字元的網域名稱，即網域名稱的開頭包含 * 號，可用來代表一群伺服器的網域名稱，適用於擁有次網域(Sub-domain)，而想要讓同一張 TLS 憑證可適用於該次網域內的所有網站者，例如網路資料中心，可考慮購買萬用網域 TLS 憑證，方便安裝於多個網站使用，並可節省建置經費。

例如 1 台伺服器，裡面有 15 個網站(網域名稱包含 news1.Domain Name、news2.Domain Name、news3.Domain Name、www1.Domain Name、www2.Domain Name、www3.Domain Name、mail1.Domain Name、mail2.Domain Name、mail3.Domain Name、hub1.Domain Name、hub2.Domain Name、hub3.Domain Name、tls1.Domain Name、tls2.Domain Name、tls3.Domain Name)，您可申請一張名稱為 *.Domain Name 的萬用網域 TLS 憑證，給該網站的 15 個次網域使用。

亦即 *.Domain Name 會註記在憑證主體別名(Subject Alternative Name)欄位與憑證主體名稱(Subject Name)之 Common Name 兩個欄位裡。

再舉例，例如對於 *.abc.com.tw 之萬用網域 TLS 憑證申請者，其憑證主體別名欄位註記 *.abc.com.tw 與 abc.com.tw 兩種域名。憑證主體名稱則註記 C=TW,O=申請SSL憑證之組織名稱,CN=abc.com.tw.於網頁填單申請時僅需填寫 *.abc.com.tw,寄給憑證技術聯絡人之憑證申請書電子檔與簽發之憑證會註記憑證主體別名欄位包含 *.abc.com.tw 與 abc.com.tw 兩種域名。

Exchange Server（如 Exchange 2007 / 2010 / 2013 / 2016 / 2019）建議使用多網域 TLS 憑證（SAN／UC 憑證） ，以同一張憑證同時支援多個服務名稱、網域名稱及伺服器應用程式之身分鑑別與 TLS 加密需求。

此類憑證可於憑證主體別名（Subject Alternative Name）擴充欄位中註記多組 DNS 名稱，實際可包含之網域數量依所選憑證方案而定，如需增加註記之網域名稱，亦可依需求另行加購。

目前主流瀏覽器與 TLS Client 軟體，皆會同時驗證憑證主體名稱（Common Name）及憑證主體別名（SAN）中的 DNS 名稱；例如 Microsoft Outlook 連線至 Exchange Server 時，即是透過 SAN 欄位進行驗證。

中繼 ICA 憑證是由根憑證簽發，用來簽發用戶的網站憑證，中繼憑證模式仍遵循 CA/B Forum 規範，並接受 WebTrust for CA 稽核，憑證核發、金鑰管理與撤銷流程皆符合國際標準，與 GlobalSign 官方核發的安全等級一致。

TLS 憑證已經受到多種作業系統、瀏覽器及軟體平台的信賴，包括微軟Windows作業系統、Edge瀏覽器(Internet Explorer)、Windows Phone 8與之後版本、蘋果MacOS X、iOS (iPhone手機及iPad平板電腦)、Safari瀏覽器、Mozilla Firefox瀏覽器、Android作業系統(Android手機或平板電腦)、Google Chrome瀏覽器、Opera瀏覽器、Java 7 update 55及Java 8 Update 5(皆含)與後續版本等，可為網站客戶端之使用者帶來最順暢的網站連線體驗。

中華電信提供中文客服、合約及發票開立、在地付款方式、憑證到期提醒、安裝協助，減少 IT 人員負擔。

用戶可以直接向中華電信提出申訴，中華電信會依約向 GlobalSign 進行後續處理。

您可購買中華電信所販售的TLS憑證，參考微軟的技術文件安裝憑證串鏈，即可使用Windows Terminal Services 並鑑別伺服器身分與建立TLS加密通道。

SAN憑證即為中華電信原販售之單網域/多網域憑證之統稱，只註記一個FQDN即為單網域憑證，註記多組以上FQDN即為多網域憑證，SAN憑證額外加購一組FQDN相同網域費用為3,000元，不同網域為6,000元。