HTTPS (SSL) 憑證導入

NYCU SSL/TLS網頁憑證申請

一、目的

資訊技術服務中心提供SSL/TLS網頁憑證申請(安裝/諮詢)服務,以支援本校各單位建置網站所需。

二、申請對象與服務範圍

  1. 申請對象:限本校一級行政單位、科系、研究所、學院、學位學程、校級中心。
  2. 本NYCU SSL/TLS 服務(以下簡稱SSL憑證)目前區分成兩種類別
    1. 「NYCU單一層網頁憑證」申請:本服務提供上述單位網站,NYCU網址名稱如「*.nycu.edu.tw」 ,僅為一層網域名稱者,可申請單一網頁憑證一張。
    2. 「NYCU網域型網頁憑證」申請:擬申請網域型憑證者,其單位網站需求,必須包含有8個(含)以上,正式運作的網站,具有NYCU網址名稱(如 「*.it.nycu.edut.tw」),並且有專人維護。
  3. 底下NYCU DNS網站名稱類別,不在本服務的申請適用範圍
    • 第一層網域為www (即 WWW.ABC.nycu.edu.tw)
    • 實驗室 (*.LAB.nycu.edu.tw)
    • 社團網 (*.CLUB.nycu.edu.tw)
    • 研討會(*.CONF.nycu.edu.tw)
    • 短期活動網站(*.ACT.nycu.edu.tw )

三、服務說明

  1. 本服務申請者,必須先通過「NYCU DNS網域名稱(例如 abc.nycu.edu.tw)之申請」。
    • 若同時送出「NYCU DNS網域名稱申請」以及本「NYCU SSL/TLS 憑證申請」,本中心將待「NYCU DNS名稱」審核通過後,再進行SSL網頁憑證審核程序。
  2. 本憑證之有效期間為一年,本次申請的憑證效期到期後,如要繼續使用,必須重新提出申請。
    • 本服務憑證有效到期日前三個月,本中心將主動通知使用單位。
  3. 符合申請資格之單位若有特殊需求,擬申請兩張以上SSL網頁憑證者,須另填寫資訊服務申請單,並由資訊中心主管審核。
  4. 上述無法申請本服務網站之替代SSL 憑證解決方案(建議)
    • 可自行安裝免費的SSL 網頁憑證(如「Let’s Encrypt」等) 。
    • 可自行選購(安裝)商業SSL憑證:若有購買SSL網頁憑證需求,資訊中心可協助請廠商提供報價單。

四、服務申請、變更與終止辦法

  1. 申請方案: 目前有兩種類別
    • 合併申請:本SSL憑證申請資訊,合併於「網站建置平台申請」表單中
    • 獨立申請:請申請者,另外填寫「資訊中心資訊服務申請單」
  2. 申請單位如前述(第二點規定),申請人須為該單位之職員或教師。
  3. 申請者,請務必詳實填寫上述表單,經申請單位主管核章後,再將申請單送至本中心服務櫃台辦理審查(日後本服務開放「線上申請」時,中心將另行公告)。
  4. 資訊中心將於審核通過後,以電子郵件(e-mail)寄送通知申請單位,準備擬申請本憑證之網站的CSR (Certificate Signing Request,內容詳見底下第五點) 請求檔規格。
  5. 申請單位收到上述CSR 製作通知後,請根據申請單位所使用Web系統,製作所需的CSR 檔案(目前區分兩大類–Apache/IIS),然後再將產生的CSR 透過e-mail送交本中心相關業務承辦人員信箱。
    • 詳細內容參見 「TWCA SSL數位憑證操作手冊」
  6. 資訊中心再將前述的CSR 檔案,上傳合作廠商SSL 憑證申請平台,製作相關憑證檔案。作業完成後,承辦人再用e-mail 將上述SSL 憑證檔案,寄送給使用申請單位,進行網頁憑證的後續安裝。
  7. 個別申請單位,在收到上述憑證七日內,請務必完成新憑證的安裝以及使用測試。如使用該新核發的憑證,遭遇使用上的問題,且無法克服,可聯繫本中心,廢止該憑證並重新製作一張新憑證(本中心可協助製作一張新憑證,不另外計價)
  8. 已申請本服務之網站,如因故不再使用,應主動提出終止申請,以免網站乏人維護,衍生資安事件。

五、使用規範

  1. 本服務之使用單位須為申請單位,不得私自移轉。
  2. 各單位之現有以及新建系統,如欲申請本服務,事前CSR 檔案製作,以及後續所有新憑證安裝(匯入),或移除舊憑證之相關工作,必須由使用單位負責完成。
  3. 本中心進行資訊安全檢查時(包括定期與不定期資安檢查),若有需要使用單位配合補強之處,使用單位應予配合。

六、CSR(Certificate Signing Request)請求檔規格

  1. C (Country – 國碼[2 碼]): TW
  2. S (State – 請輸入州/省別): TAIWAN
  3. L (Location – 請輸入所在城市, 可依校區): HSINCHU 、TAIPEI 、TAINAN (三選一)
  4. O (Organization- 請輸入學校全名): National Yang Ming Chiao Tung University
  5. OU (Organization Unit – 請輸入單位名稱[單位縮寫] )
  6. CN (Common Name – 請輸入網站名稱, 例如 *.nycu.edu.tw)
  7. 金鑰(key)長度2048(含)以上,產生 server.csr 的檔案
  8. 網頁伺服器版本: Apache 或 IIS

網頁導入HTTPS的實施作法

SSL憑證安裝

  • 有提供檔案下載或上傳、使用者登入介面、個資收集的網站,請使用所屬一級單位購買之憑證;不具前項所述功能的網站請使用免費憑證,並設定自動更新憑證。
  • 各該一級單位自行購買的憑證,規格為2048bit以上長度之憑證且雜湊(Hash)演算法至少需要SHA2。

強制導入HTTPS

輸入http://DomainName (通訊協定http[結尾無s],表示連接通訊埠TCP port 80,通訊過程沒有加密, 有較高資安風險),將自動轉址至https://DomainName (有 s,表示連接通訊埠,TCP port 443,通訊過程有加密)。

排除混合內容

因應 Google Chrome瀏覽器已自2019年12月起,封鎖HTTPS網頁中以HTTP下載的內容,請各單位網頁管理人檢視網站內容,避免網站中仍含有HTTP內容,以確保使用者正常瀏覽網站。

法令依據

項目 檔案
教育部函轉國家發展委員會-持續辦理所有網站導入並預設為安全傳輸協定(HTTPS)說明(1081024) PDF檔案
教育部函轉國家發展委員會-政府機關導入網站安全傳輸通訊協定(HTTPS)說明 (1070321) PDF檔案