申请前的准备工作
明确自身需求并选择证书类型
- 企业用户:对于企业而言,情况相对复杂些。若企业仅有一个主网站,用于展示企业形象、产品服务,单域名的国密 SSL 证书即可满足需求;要是企业业务多元,有多个不同功能的子域名,如用于电商销售的子域名、客户服务的子域名等,通配符证书或者多域名证书更为合适,一张证书就能保护多个相关域名。
准备相关材料
-
企业资质证明:企业申请国密 SSL 证书,营业执照副本是必不可少的材料,用于证明企业的合法经营身份。此外,组织机构代码证(若已完成三证合一,营业执照已涵盖相关信息)、税务登记证等也可能需要提供,不同证书颁发机构(CA 机构)要求略有差异,要提前咨询确认。
-
域名相关:确保申请证书的域名已经完成备案,这是国内合法使用域名的必要条件。若域名未备案,需先按流程完成备案操作。同时,要准备好域名所有权证明材料,例如域名注册商提供的域名注册信息截图,上面清晰显示域名所有者与申请企业或个人一致。
↓
国密SSL证书申请:www.joyssl.com/certificate…
↑
提交申请
在选定 CA 机构后,就可以开始提交国密 SSL 证书申请了,一般流程如下:
注册与登录
访问 CA 机构官方网站,找到证书申请相关入口,进行注册操作,创建一个用于管理证书申请的账户。注册时需填写真实有效的个人或企业信息,如用户名、密码、电子邮箱等。注册成功后,使用注册的账号登录到证书申请系统。
填写申请信息
进入申请系统后,根据系统提示填写详细的申请信息。这部分信息要与之前准备的材料保持一致,主要包括:
-
基本信息:申请人姓名(企业申请时为企业名称)、联系方式(手机号码、电子邮箱)、单位地址等。这些信息用于 CA 机构在审核过程中与申请人沟通联系。
-
证书相关信息:选择之前确定好的证书类型,如单域名、多域名、通配符证书等;填写需要申请证书的域名或 IP 地址(注意准确无误,否则可能导致证书无法正常使用);选择加密算法为国密算法(如 SM2、SM3、SM4 等)。
-
上传材料:按照系统要求,将准备好的企业资质证明文件(营业执照副本、组织机构代码证等扫描件)、法定代表人身份证明文件(身份证正反面复印件扫描件、授权委托书扫描件)以及生成的 CSR 文件上传至申请系统。上传文件格式、大小等要符合 CA 机构规定,一般支持常见的 PDF、JPEG 等格式。
提交申请并等待审核
完成所有信息填写和材料上传后,仔细检查一遍,确认无误后点击提交申请按钮。申请提交成功后,CA 机构会收到申请信息,并进入审核环节。此时,申请人可在申请系统中查看申请状态,通常显示为 “审核中”。在等待审核期间,保持预留的联系方式畅通,以便 CA 机构在审核过程中有疑问时能及时与申请人沟通。
审核阶段
CA 机构收到申请后,会从多个方面对申请信息进行严格审核,以确保申请者身份合法、域名或 IP 地址所有权真实有效以及符合相关安全标准,主要审核内容包括:
身份验证
-
企业身份验证:对于企业申请,CA 机构会通过多种方式验证企业的真实身份。例如,核实企业营业执照信息的真实性,可通过工商行政管理部门的官方数据库进行比对;若企业提供了组织机构代码证、税务登记证等材料,也会一并核实。此外,可能会通过电话回访企业预留的联系电话,确认申请事宜是否为企业真实意愿,电话验证过程中,可能会询问一些关于企业基本信息、申请证书用途等问题。
-
个人身份验证:个人申请时,CA 机构主要验证申请人身份信息的真实性,如通过身份证信息验证系统核实身份证号码、姓名等信息是否一致。对于一些特殊用途的个人证书申请,可能还会要求提供其他辅助证明材料,如个人与申请域名的关联证明等。
域名所有权验证
- 域名验证:常见的域名验证方式有以下几种:
-
- DNS 验证:CA 机构会要求申请人在域名的 DNS 解析记录中添加特定的 TXT 记录,记录内容由 CA 机构生成。添加完成后,CA 机构通过查询域名的 DNS 记录,确认 TXT 记录是否正确添加,以此验证申请人对域名的控制权。
-
- 文件验证:申请人需在网站根目录下放置一个由 CA 机构提供的特定文件(一般为文本文件),CA 机构通过访问该文件的特定 URL 路径,如 “http:// 你的域名 /.well-known/pki-validation/ 文件名”,若能成功访问到该文件且内容正确,即可验证域名所有权。
安全与合规性审核
CA 机构会对申请的整体安全性和是否符合相关法规、标准进行审核。例如,检查 CSR 文件生成过程是否合规,使用的国密算法是否符合国家密码管理局的相关规定;审核申请的域名或 IP 地址是否存在安全风险,如是否被列入恶意网站黑名单等。只有通过所有审核环节,申请才会进入证书颁发阶段。
证书颁发与安装
证书颁发
当申请通过 CA 机构的所有审核后,CA 机构会生成并颁发国密 SSL 证书。证书通常有 PEM、PFX 等格式,不同格式在用途和使用方式上略有差异。一般情况下,申请人会收到 CA 机构发送的电子邮件通知,告知证书已颁发,并提供证书下载链接或相关获取方式。申请人登录到 CA 机构的证书申请系统,也可在申请记录中找到证书下载入口,按照提示下载证书文件。
证书安装
将下载好的国密 SSL 证书安装到服务器上,才能使其发挥加密和验证作用。安装过程因服务器类型、Web 服务器软件不同而有所区别,以下以常见的 Apache 和 Nginx 服务器为例简单介绍:
-
Apache 服务器:找到 Apache 服务器的配置文件,一般为 “httpd.conf” 或 “apache2.conf”,在文件中添加 SSL 相关配置指令。例如,指定证书文件路径(如 SSLCertificateFile “证书文件路径.pem”)、私钥文件路径(如 SSLCertificateKeyFile “私钥文件路径.key”)等。配置完成后,保存文件并重启 Apache 服务,使配置生效。
-
Nginx 服务器:打开 Nginx 的配置文件,通常位于 “/etc/nginx/nginx.conf” 或相关站点配置文件中。在配置文件中添加 SSL 配置块,如:
server {
listen 443 ssl;
server_name 你的域名;
ssl_certificate 证书文件路径.pem;
ssl_certificate_key 私钥文件路径.key;
# 其他SSL相关配置项
}
修改完成后,通过命令行工具检查配置文件语法是否正确(如 “nginx -t”),无误后重启 Nginx 服务,完成证书安装。
安装完成后,可通过浏览器访问网站,查看地址栏是否显示安全锁标志,以及证书信息是否正确,以此验证证书是否安装成功。同时,要注意定期检查证书有效期,在证书快到期时,提前按照申请流程进行证书更新操作,确保网站数据传输安全不间断。
申请国密 SSL 证书虽然步骤较多,但只要按照上述流程,准备好材料,选择正规 CA 机构,并认真完成每一步操作,就能顺利获得并安装证书,为网络数据安全保驾护航。
