2025 政府網站伺服器主機SSL憑證安裝教學分享 (IIS 10)

 

隨著政府網站對於伺服器的主機安全要求逐年提升，許多負責資訊系統的承辦人員經常面臨網站主機如何安裝SSL憑證的困擾。由於目前在 GCP 政府憑證入口網站上，缺少相關的教學網頁說明，僅能找到由中華電信提供的一份PDF教學檔案。因此，為了讓日後接手政府網站的相關人員能更方便地查詢並完成憑證安裝，我們特別撰寫了這篇文章，分享完整的操作流程與注意事項。

 

PDF教學手冊原檔：

政府網站伺服器數位憑證管理中心(GTLSCA) Windows IIS 10.0 SSL 憑證請求檔製作與憑證安裝手冊(2025)

https://gca.nat.gov.tw/download/GCA_Windows_IIS10_CSR_and_INSTALL.pdf

(上述連結如無法打開，請開啟備份文件)

 

CSR 建立步驟

1. 開啟 IIS 管理員：

   • 點選「開始」→「系統管理工具」→「Internet Information Services (IIS) 管理員」。
   • 在左側連線窗格中，選擇主機名稱，並在中間的功能檢視中，雙擊「伺服器憑證」。

2. 建立憑證要求 (CSR)：

   • 在右側操作窗格中，點選「建立憑證要求...」。
   • 輸入以下資訊：
     • 一般名稱 (CN)：填寫您的網域名稱，例如 www.example.com。【這個就是你的網站域名】
     • 組織 (O)：輸入您的公司名稱。
     • 組織單位 (OU)：輸入部門名稱。
     • 城市/地區 (L)：填寫城市名稱。
     • 州/省份 (S)：輸入省份或州名。
     • 國家/地區 (C)：輸入台灣代碼 TW。
   • 完成後點擊「下一步」。

3. 選擇金鑰長度：

   • 密碼編譯服務提供者選擇「Microsoft RSA SChannel Cryptographic Provider」。
   • 位元長度選擇 2048。
   • 點擊「下一步」。

4. 儲存 CSR 檔案：

   • 將 CSR 檔案儲存至指定路徑，例如 C:\certreq.txt。
   • 完成後點擊「完成」。

5. 提交 CSR：

   • 將生成的 certreq.txt 提交至政府憑證管理中心申請 SSL 憑證。

 

SSL 憑證安裝步驟

1. 安裝 SSL 憑證：

   • 開啟 IIS 管理員，並雙擊「伺服器憑證」。
   • 在右側操作窗格中，點擊「完成憑證要求...」。
   • 選擇下載的憑證檔案，並輸入易記名稱，完成安裝。

2. 下載 SSL 憑證：

   • 從憑證管理中心取得 SSL 憑證檔案（通常為 .cer 檔）。【這一段通常是由公部門資訊單元提供cer檔】

3. 設定網站繫結：

   • 點選需要安裝的網站，如：www.test.com.tw。【建議不要綁在Default Web Site，避免windows更新時影響到】

   • 在右側操作窗格中，選擇「繫結」→「新增」。

   • 在「新增網站繫結」視窗中：

     • 類型選擇「https」。

     • 連接埠設定為「443」。

     • SSL 憑證選擇剛剛安裝的憑證（例如：www.test.com.tw）。

   • 完成後點擊「確定」

 

憑證串鏈安裝步驟

1. 下載憑證串鏈檔案：

   • 在 GTLSCA 網站，下載壓縮檔案： https://gtlsca.nat.gov.tw/download/GTLSCA_All.zip
   • 解壓縮後，取得以下檔案：
     • ROOTeCA_64.crt
     • eCA1_to_eCA2-New.crt
     • GTLSCA.crt

2. 匯入憑證串鏈：

   • 開啟「憑證管理員」工具：
     • 點擊「開始」→輸入「mmc」→按下「Enter」。
     • 選擇「檔案」→「新增/移除嵌入式管理單元...」。
     • 選擇「憑證」→「新增」→選擇「電腦帳戶」→「下一步」→「本機電腦」→「完成」。
   • 匯入以下憑證：
     • eCA 自發憑證：匯入至「中繼憑證授權機構」。
     • GTLSCA 憑證：匯入至「中繼憑證授權機構」。
     • eCA 根憑證：匯入至「受信任的根憑證授權機構」。

3. 驗證與清理：

   • 確認所有憑證已成功匯入，並刪除過期或重複的憑證。

 

完成以上步驟後，即可確保您的伺服器正確配置 SSL 憑證，滿足政府標案需求。如有問題，建議聯繫憑證提供方或技術支援團隊協助處理。