憑證壓縮檔
壓縮檔中的4個檔案分別是:
1. ROOTeCA_64.crt → (舊)根憑證
2. eCA1-to-HRCA1.crt → (舊 to 新)中繼轉接憑證
3. OVTLSCA1_b64.crt → (新)中繼CA憑證
4. xxx.cer → 簽發給用戶的TLS伺服器軟體憑證
憑證串鏈結構說明
中華電信TLS憑證服務於2024年11月切換新根憑證CA簽發客戶伺服器憑證,連帶中繼憑證等憑證鏈也換新,相關結構可參考下圖:
目前新的根憑證HiPKI RCA-G1已經植入於主流瀏覽器或作業系統的新版本中,所以中繼憑證放OVTLSCA都能對應隨時更新的電腦,但還沒更新的瀏覽器、無法獲得更新的電腦、終止更新的手機舊版本,都無法獲得新根憑證CA。
而上述裝置在瀏覽新CA憑證時還是會出現不安全警告,所以多了一個eCA1-to-HRCA1.crt中繼轉接憑證支援只有舊根憑證的電腦和裝置。
eCA1-to-HRCA1.crt的安裝位置跟OVTLSCA一樣都放在mmc.exe的「中繼憑證授權單位」即可。
舊的根憑證ROOTeCA_64.crt 預計會在2025/04從主流瀏覽器的新版根憑證庫中移除,壓縮檔附的舊根憑證是瀏覽器移除支援後以防萬一或者開發測試使用。
