在 Mozilla Thunderbird 1.x上安裝自然人憑證

內政部推出的自然人憑證到目前也已經將近2年半的時間了(2003/04/28 正式營運),各式各樣的自然人憑證應用也愈來愈多,雖然還沒達到當初宣稱的上千種應用服務,不過和一開始推出時比較起來已經多很多了;尤其現在很多網站 (包含一些公司、學校的內部網站)也都使用自然人憑證取代傳統的帳號、密碼登入,可以預見將來的應用只會愈來愈多。

這邊主要說明的是在 Mozilla Thunderbird 上使用自然人憑證對郵件進行簽章;當然要用自然人憑證簽章前一定要先有自然人憑證才行,所以欲使用簽章功能的話建議先去申請一張。

使用環境:
  1. OS: Microsoft Windows XP with SP2
  2. Mozilla Thunderbird 1.0.6
以下的內容原則上適用於所有Microsoft Windows作業系統(Win 9x/ME/NT版本因不支援SmartCard的功能,所以需先另行安裝Microsoft Smart Card Base Component)以及Microsoft Windows 版本的 Mozilla Mail 1.x 及 Mozilla Thunderbird 1.x。

前置作業:
  1. 取得內政部自然人憑證:
    • 可以參考內政部自然人憑證網站上的申請方式,底下的網址有列出申辦流程:https://idcard.moica.hinet.net/ShopStyle/Nature/default.asp(因 該網頁使用SSL連線,所以進入時會出現詢問是否接受該網站憑證的提醒視窗,因為該網站是在 hinet.net 之下,按『是』即可,不放心的人也可以按『檢視憑證』確認該憑證的內容)
    • 接著就按下右上角的申辦預約進行相關的申請作業,若覺得網站上寫不清楚的可以打去客服專線(0800-080117)詢問。
  2. 取得讀取內政部自然人憑證IC卡的讀卡機並安裝到使用的電腦上
    • 自然人憑證網站上面有列出建議選購的讀卡機,可以參考,http://moica.nat.gov.tw/html/cover06_04.htm
    • 使用的讀卡機只要符合一般PC/SC的標準即可,同時讀卡機買來後也可以讀銀行的晶片金融卡。
    • IC卡讀卡機的安裝步驟請參照讀卡機中的說明檔案。
  3. 安裝 SafeSign CSP軟體

前置作業完成後,就開始進行 Mozilla Thunderbird 中的設定了,請慢慢看下去吧:
  1. 開啟 Mozilla Thunderbird,並選擇『工具\帳號設定』
圖1
  1. 接著點選安裝左邊窗格中『安全資訊』選項中的『管理安全裝置』,進行 A.E.T. SafeSign CSP PCKS#11 Library的安裝,安裝過程中建議不要將自然人憑證IC卡插在讀卡機中,不然有可能會突然發生Thunderbird沒有回應的情況。
圖2
  1. 在接下來出現的畫面中選擇『載入』的按鈕
圖3
  1. 然後在出現的『載入PKCS# 11模組』視窗中輸入欲使用的 PKCS#11模組名稱,這邊可以隨意輸入可辨識的名稱即可;此處則以 SafeSign 為例;接著按下『瀏覽』按鈕選擇要安裝的A.E.T. SafeSign CSP PCKS#11 Library。
圖4
  1. 要安裝的檔案為在 C:\Windows\System32 資料夾底下,然後選擇 aetpkss1.dll 檔,然後按下『確定』。
圖5
  1. 接著會回到『載入PKCS# 11模組』視窗,按下『確定』即可;
圖6

當按下確定時會出現一詢問是否安裝所選擇的模組視窗,一樣按下『確定』即可,接著就會出現一視窗說明已安裝新的安全模組。
圖7 圖8
  1. 完成上述動作後會出現如下畫面,與圖3的差別在於左邊『安全模組與裝置』窗格中多了剛剛新增的 SafeSign 模組,圖片中顯示的 Gemplus USB SmartCard Read 0 是代表所使用的讀卡機名稱,會因個人所使用的不同讀卡機而有不同名稱;接著按下『確定』會離開此畫面會回到圖2的畫面。
圖9

  1. 安裝完PKCS# 11 模組後,需要先安裝內政部自然人憑證中心的自身憑證,不然在使用自然人憑證時無法識別憑證用途是用以簽章或是加密(可參考此圖)。內政部自然人憑證中心的自身憑證可在 該網站上的『儲 存庫』下載,或是直接利用左邊的連結下載亦可。內政部 自然人憑證中心自身憑證
  1. 安裝內政部自然人憑證中心(MOICA) 及政府憑證總管理中心(GRCA) 的自身憑證
  1. 憑證安裝過程為按下圖2中 的『管理憑證』選擇『認證中心\匯入』,然後選取剛剛下載內政部自然人憑證中心的自身憑證檔案,可參考底下的圖10, 11。
圖10
圖11

  1. 按下圖11 中的『開啟』按鈕後,會出現圖12的畫面,詢問是否信任此憑證用於列出的用途,這邊建議全部都勾選,然後按『確定』離開後,可以看到圖13已安裝完成內政 部自然人憑證中心自身憑證的畫面,接著按下『確定』即可。
圖12

圖13
  1. 安裝完內政部自然人憑證中心的自身憑證後就能夠利用自然人憑證進行簽章、加密,但此時若按下圖13中的『檢視』按鈕瀏覽自然人憑 證中心自身憑證的內容,可以看到如圖14的內容,上面出現『無法檢驗。原因:發行者不明』的訊息。(該視窗標題欄中出現的亂碼為Mozilla Thunderbird解讀憑證顯示上的問題,不影響正常使用)
圖14

  1. 會出現圖14的原因是因為尚未安裝政府憑證總管理中心的自身憑證的關係,只要安裝後就會正常顯示了。政府憑證總管理中心的自身憑證 可到該網站上的儲存庫中找『GRCA憑證下載』或是直接利用左邊的連結下載亦可。政府憑證總管理中心自身憑 證
  2. 安裝過程和安裝內政部憑證管理中心的自身憑證相同,只要重複上述的 a, b 步驟即可,安裝完成後可看到如圖15的畫面,接著按下圖15中的確定離開憑證管理員的視窗回到圖2的 畫面。
圖15
  1. 此時將自然人憑證IC卡插入讀卡機中,然後按下圖2中 的『數位簽章\選擇...』,會出現的圖16畫面,詢問自然人憑證IC卡密碼的視窗,因為簽章所使用的是個人的私密金鑰,所以在存取時需要輸入自然人憑證 IC卡的密碼才能夠讀取。(預設的自然人憑證IC卡密碼為出生年月日共六碼,不過建議在使用時更改成其它的。欲更改密碼可上自然人憑證網站上更改,不過因 為更改密 碼的網頁是用 ActiveX 實現,所以只能用 Intenet Explorer 來做,若不透過該網站上的網頁來做,也可以用安裝的 SafeSign 軟體中『Change PIN』來做)
圖16

輸入密碼後接著會出現簽章所使用的憑證資訊如圖17所示,上面註明了CHT Card:cert1憑證的用途是用於『Client, 簽署』。接著點選『確定』後會出現圖18的畫面,詢問是否使用同一張憑證作為加解密郵件用的憑證,這邊請記得選『取消』,因為加解密用的憑證是另一張。
圖17

圖18
  1. 接著按下圖2中 的『加密\選擇...』選取用以加解密的憑證,會出現圖19的畫面,此處可注意憑證的部分是『CHT Card:cert2』,其『用途』為『伺服器, 加密』;接著按『確定』離開此畫面,此時也會出現如圖一詢問是否使用同樣的憑證為郵件加上數位簽章,此處一樣按『取消』。
圖19

 
圖20

接著可以看到如圖21的畫面,已經完成選擇用以簽章、加密 的憑證了。圖21中『數位簽章』的選項中有一個『數位簽章(預設)』的選項可供勾選,若有勾選該選項則以後利用 Mozilla Thunderbird 編寫新郵件要寄出前都會利用自然人憑證進行簽章動作,若未勾選則預設不會對郵件簽章。
圖21

完成上述11個步驟後就可以讓 Mozilla Thunderbird 使用內政部自然人憑證IC卡來對郵件進行簽章、加密的動作了,至於如何使用Mozilla Thunderbird 進行郵件的簽章、加密動作則將另做說明。


相關網站參考:
政府總憑證管理中心
http://grca.nat.gov.tw
內政部憑證管理中心
http://moica.nat.gov.tw