一、等保测评对SSL证书的核心要求**
-
证书颁发机构(CA)需受信任
- 必须选择国际或国内认可的权威CA机构颁发的证书(如Let's Encrypt、DigiCert、GlobalSign等)。国内部分等保测评可能要求使用国密算法证书(SM2/SM3/SM4),需提前确认测评要求。
-
证书类型要求
- 域名验证(DV)证书:适用于纯域名验证,免费证书(如Let's Encrypt)通常满足要求。
- 组织验证(OV)或扩展验证(EV)证书:若测评要求更高强度的身份认证,可能需要购买OV/EV证书(免费证书不支持)。
-
证书有效期
- 免费证书(如Let's Encrypt)有效期为90天,需自动续期,避免因过期导致测评不合格。
-
加密算法合规性
- 需支持TLS 1.2及以上协议,禁用弱加密套件(如SHA-1、RC4)。国密算法需根据测评要求单独配置。
二、免费SSL证书申请流程(以等保合规为例)
1. 选择证书类型
-
国际CA免费证书(推荐Let's Encrypt):
- 适用场景:域名已备案且测评接受国际CA。
- 注意:部分国内测评可能要求使用国产CA(如CFCA)或国密证书。
-
国产CA免费证书(如CFCA免费型):
- 需通过中国金融认证中心(CFCA)官网申请,需提交域名和身份信息。
2. 申请步骤(以Let's Encrypt为例)
-
前提条件:
- 域名已完成实名认证并解析到服务器。
- 服务器支持HTTP/HTTPS协议,开放80/443端口。
-
操作步骤:
-
安装Certbot工具(以Nginx为例):
bash 复制 sudo apt update && sudo apt install certbot python3-certbot-nginx -
运行Certbot获取证书:
bash 复制 sudo certbot --nginx -d yourdomain.com -d *.yourdomain.com -
自动续期配置:
Certbot默认启用自动续期,测试续期是否正常:bash 复制 sudo certbot renew --dry-run
-
3. 国产CA证书申请(如CFCA免费型)
- 访问 CFCA官网,选择“免费SSL证书”申请。
- 提交域名、企业营业执照等信息,完成域名所有权验证(DNS或文件上传)。
- 下载证书文件(包含
.crt和.key),部署到服务器。
三、等保测评中的SSL配置注意事项
-
协议与加密套件配置
-
禁用SSLv2/SSLv3,仅启用TLS 1.2及以上版本。
-
使用强加密算法(如ECDHE-RSA-AES256-GCM-SHA384)。
-
推荐工具:
- SSL Labs测试工具 检测配置安全性。
Mozilla SSL Configuration Generator生成合规配置。
-
-
证书链完整性
- 确保证书文件包含完整的证书链(服务器证书 + 中间证书)。
- 使用在线工具(如 SSL Checker)验证证书链。
-
国密算法支持(如需)
- 若测评要求国密SM2/SM3/SM4,需使用国内CA颁发的国密证书(如CFCA国密版)。
- 服务器需支持国密协议(如SM2 SSL),并配置Nginx/Apache国密模块。
四、常见问题与解决方案
-
免费证书不被测评机构认可
- 原因:部分测评机构可能要求国际CA或国产CA证书。
- 解决方案:更换为CFCA免费证书或购买商业证书(如DigiCert、Sectigo)。
-
证书续期失败导致服务中断
- 检查服务器时间同步(NTP服务)。
- 确保防火墙未拦截ACME协议的API请求(Let's Encrypt验证需访问外部API)。
-
混合部署HTTP/HTTPS
-
强制跳转HTTP到HTTPS(Nginx配置示例):
nginx 复制 server { listen 80; server_name yourdomain.com; return 301 https://$host$request_uri; }
-
五、总结
-
免费证书适用场景:域名已备案、测评接受国际CA、配置合规性达标。
-
国产化场景:优先选择CFCA等国产CA的免费证书。
-
关键步骤:
- 验证测评对CA类型的要求。
- 自动化部署证书并配置强加密算法。
- 定期测试证书状态(如续期、协议兼容性)。
