1

政府憑證管理中心（GCA）

Windows IIS 8.0 SSL 憑證請求檔製作與憑證安裝手冊

聲明：本手冊之智慧財產權為中華電信股份有限公司（以下簡稱本公司）所有，

本公司保留所有權利。本手冊所敘述的程序係將本公司安裝相關軟體的經驗分享

供申請 SSL 伺服軟體憑證用戶參考，若因參考本手冊所敘述的程序而引起的任

何損害，本公司不負任何損害賠償責任。

目錄

Windows IIS 8.0 SSL 憑證請求檔製作手冊 ................................................................ 2

Windows IIS 8.0 SSL 憑證安裝操作手冊 (適用 2019/09/02 之後申請) ................... 6

Windows IIS 8.0 SSL 憑證安裝操作手冊 (適用 2019/09/02 之前申請) ................. 18

附件一：停用 SSLv2、SSLv3 ................................................................................... 33

2

Windows IIS 8.0 SSL 憑證請求檔製作手冊

一、 開啟「Internet Information Services (IIS)管理員」

二、 點選主機連線預設名稱(預備申請與安裝 SSL 憑證的網站)，再點選畫面

右邊「伺服器憑證」兩下。

3

三、 點選「建立憑證要求」

四、 輸入以下所有欄位資料，輸入完成後請點選「下一步」, 多網域憑證申

請填一個代表網站名稱即可，實際憑證核發資料是以申請書填寫為主。

4

五、 選擇密碼編譯服務提供者『Microsoft RSA SChannel Cryptographic

Provider』，金鑰長度選擇 『2048』位元。請注意依照國際密碼學趨勢，請

使用 RSA 2048 位元(含)以上金鑰長度。

六、 指定儲存憑證請求檔的檔案名稱與存放位置，確認後請點選「完成」。

5

七、 此時憑證請求檔(certreq.txt)製作完成，使用憑證請求檔至政府憑證

管理中心（http://gca.nat.gov.tw）申請 SSL憑證。

6

Windows IIS 8.0 SSL 憑證安裝操作手冊

(適用 2019/09/02 之後申請)

一、開啟「Internet Information Services (IIS)管理員」。

二、點選主機連線預設名稱，再點選畫面右邊「伺服器憑證」。

7

三、點選「完成憑證要求」。

四、如下圖，選擇至政府憑證管理中心申請之 SSL 憑證，並輸入好記的名稱(一

般填寫 Domain Name)。

8

五、步驟 4 按「確定」，出現完成憑證要求的畫面。

六、至 GTLSCA 網站下載已經壓縮打包好的憑證串鏈檔案，下載網址為

https://gtlsca.nat.gov.tw/download/GTLSCA_All.zip

七、將 GTLSCA_All.zip 解壓縮，可以得到 ROOTeCA_64.crt、

9

eCA1_to_eCA2-New.crt 和 GTLSCA.crt 共 3 個檔案。

八、接著要安裝 eCA 自發憑證及 GTLSCA 憑證。

請先點選左下角的「Windows PowerShell」→輸入「mmc」→按下「Enter」。

九、選擇「新增/移除嵌入式管理單元」。

10

十、接著點選「憑證」→「新增」。

選擇「電腦帳戶」→「下一步」→「完成」。

11

最後按下「確定」。

十一、匯入 eCA 自發憑證。在「中繼憑證授權單位」下的「憑證」按下右鍵，

選擇「所有工作」→「匯入」。

12

依照下列步驟匯入自發憑證。

13

14

十二、匯入 GTLSCA 憑證。在「中繼憑證授權單位」下的「憑證」按下右鍵，

選擇「所有工作」→「匯入」。

15

依照上述匯入 eCA 自發憑證的步驟，匯入 GTLSCA 憑證。

成功匯入後，可以看到 GTLSCA 的憑證。

16

十三、ROOTeCA_64.crt 因 Windows 本身大多已內建，不需另外匯入。

十四、檢查「受信任的根憑證授權單位」中是否有 ePKI Root Certification

Authority - G2 的憑證(到期日為 2037/12/31)，若有請刪除。

十五、點選要安裝的站台，本手冊以(Default Web Site)進行說明，選擇「繫結」

新增類型『https』、連接埠 『443』，選擇要安裝在此站台之 SSL 憑證

(www.test.com.tw) 。

17

十六、依照您的網路架構，您可能需要於防火牆開啟對應 https 的 port。

18

Windows IIS 8.0 SSL 憑證安裝操作手冊

(適用 2019/09/02 之前申請)

一、開啟「Internet Information Services (IIS)管理員」。

二、點選主機連線預設名稱，再點選畫面右邊「伺服器憑證」。

19

三、點選「完成憑證要求」。

四、如下圖，選擇至政府憑證管理中心申請之 SSL 憑證，並輸入好記的名稱(一

般填寫 Domain Name)。

20

五、步驟 4 按「確定」，出現完成憑證要求的畫面。

六、請至下列網址下載 3 張憑證：

GRCA 自發憑證(GRCA1 簽 GRCA1.5)

http://grca.nat.gov.tw/repository/Certs/GRCA1_to_GRCA1_5.cer

21

GRCA 自發憑證(GRCA1.5 簽 GRCA2)

http://grca.nat.gov.tw/repository/Certs/GRCA1_5_to_GRCA2.cer

GCA2 憑證

http://gca.nat.gov.tw/repository/Certs/GCA2.cer

七、接著要安裝 GRCA 自發憑證及 GCA2 憑證。

請先點選左下角的「Windows PowerShell」→輸入「mmc」→按下「Enter」。

八、選擇「新增/移除嵌入式管理單元」。

22

九、接著點選「憑證」→「新增」。

選擇「電腦帳戶」→「下一步」→「完成」。

23

最後按下「確定」。

24

十、匯入第 1 張 GRCA 自發憑證。在「中繼憑證授權單位」下的「憑證」按下

右鍵，選擇「所有工作」→「匯入」。

依照下列步驟匯入自發憑證。

25

26

27

十一、匯入第 2 張自發憑證。在「中繼憑證授權」下的「憑證」按下右鍵，選擇

「所有工作」→「匯入」。

依照上述匯入第 1 張 GRCA 自發憑證的步驟，匯入第 2 張自發憑證。

28

匯入成功後，可以看到 GRCA 的 2 張自發憑證。

29

十二、匯入 GCA2 憑證。在「中繼憑證授權單位」下的「憑證」按下右鍵，選

擇「所有工作」→「匯入」。

依照上述匯入 GRCA 自發憑證的步驟，匯入 GCA2 憑證。

30

成功匯入後，可以看到 GCA2 的憑證。

十三、檢查「受信任的根憑證授權單位」中是否有 GRCA2 的憑證(到期日為

2037/12/31)、「中繼憑證授權單位」中是否有 GRCA 的自發憑證(到期日為

2032/12/5)，以上若有請刪除。

十四、點選要安裝的站台，本手冊以(Default Web Site)進行說明，選擇「繫結」

新增類型『https』、連接埠 『443』，選擇要安裝在此站台之 SSL 憑證

(www.test.com.tw) 。

31

32

十五、依照您的網路架構，您可能需要於防火牆開啟對應 https 的 port。

33

附件一：停用 SSLv2、SSLv3

一、 經測試，IIS8 SSL2.0預設是關閉的，若您的 SSL2.0是開啟的，您可

以依照以下關閉 SSL 3.0的作法來關閉 SSL2.0。

二、 開啟登錄檔編輯程式，依照以下路徑找到 Protocols。

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProvider

s\SCHANNEL\Protocols\

在 Protocols的機碼上，按下右鍵→新增→機碼，然後輸入「SSL 3.0」。

34

三、 在 SSL3.0資料夾上按右鍵→新增→機碼，然後輸入「Server」。

四、 接著在剛剛建立 Server的資料夾下按右鍵→新增→DWORD(32-位元)

值，然後輸入「Enabled」，並確認資料欄位值為「0x00000000 (0)」，若

不是，請手動將值改為 0。

35

五、 重新啟動電腦。啟動完成後，使用可以測試工具（註 1、註 2）進行檢

測，看 SSL 2.0、SSL3.0是否已停用。

註 1:例如行政院國家資通安全會報技服中心網頁

http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh 有介紹兩種檢

測伺服器端 SSL 協定的工具：(1) TestSSLServer

36

（http://www.bolet.org/TestSSLServer/） (2) QUALYS SSL LABS SSL Server

Test 檢測工具(https://www.ssllabs.com/ssltest/index.html, 也是 CA/Browser

Forum網站建議的檢測工具)可偵測伺服器所使用之加密協定，因 2014 年 10

月中國際公告了 SSLv3 加密協定存在中間人攻擊弱點，弱點編號

CVE-2014-3566 (POODLE)，故建議不要使用 SSL V3協定，請改用 TLS 最新

協定。

註 2:

(1) 若是用戶端各平台之瀏覽器要停止使用 SSL V3協定可參考

https://zmap.io/sslv3/browsers.html 之英文說明

(2) 請超連結至 https://dev.ssllabs.com/ssltest/viewMyClient.html可檢測您用戶端

之瀏覽器是否已經停用 SSL V3。

(3) 若是 I.E.瀏覽器可於工具列-> 網際網路選項->進階->安全性取消勾

選使用 SSL V3 與使用 SSL V2，或參考下圖設定（取材自行政院國家資

通安全會報技服中心網頁

http://www.icst.org.tw/NewInfoDetail.aspx?seq=1436&lang=zh）