一、等保密评对SSL证书的核心要求
-
算法合规性
等保2.0与密评明确要求关键信息基础设施必须采用国产密码算法。企业需选择支持SM2/SM3/SM4的国密SSL证书,或同时支持RSA与国密算法的双证书体系。例如,金融行业系统需满足《金融行业信息系统商用密码应用基本要求》(JR/T 0254—2022),要求交易类业务100%使用国密算法。 -
证书类型与验证等级
- DV(域名验证)证书:仅验证域名所有权,适用于静态展示类网站,但等保三级及以上系统通常要求更高验证等级。
- OV(组织验证)证书:需提交营业执照、法人身份证等材料,验证企业主体真实性,适用于企业官网、业务系统。
- EV(扩展验证)证书:浏览器地址栏显示绿色企业名称,适用于支付、政务等高安全需求场景。
-
部署与配置要求
- 禁用SSLv2/SSLv3协议,强制使用TLS 1.2及以上版本。
- 配置强加密套件(如ECDHE-RSA-AES256-GCM-SHA384),禁用RC4、DES等弱算法。
- 确保证书链完整,包含根证书与中间证书。
二、申请流程详解
1. 确定证书需求
-
等保级别匹配:
- 等保二级:OV证书即可满足要求。
- 等保三级:建议采用OV或EV证书,并部署国密算法。
- 等保四级:需通过密评,必须使用国密SSL证书。
-
场景化选择:
- 单域名证书:适用于单一业务系统。
- 通配符证书:覆盖主域名下所有子域名(如*.example.com)。
- IP地址证书:适用于未绑定域名的内网系统。
2. 选择CA机构与证书类型
-
国内主流CA机构:
- CFCA:金融行业首选,支持国密算法,但价格较高。
- JoySSL:性价比突出,提供免费技术支持。
申请注册免费咨询,填写230950获取一对一技术支持
-
证书类型推荐:
- 通用场景:OV双算法证书(RSA+国密)。
- 政务系统:纯国密EV证书。
3. 提交申请材料
-
基础材料:
- 企业营业执照副本(加盖公章)。
- 法人身份证正反面扫描件。
- 网站备案号(ICP备案)。
-
特殊材料:
- 等保定级报告(需盖公章)。
- 密评备案证明(如已开展密评)。
4. 完成验证流程
-
域名验证:
- DNS解析验证:添加TXT记录。
- 文件验证:上传验证文件至服务器根目录。
-
组织验证:
- CA机构通过电话、邮件核实企业信息。
- 金融、医疗等行业需提供行业许可证(如《金融许可证》)。
5. 证书签发与部署
-
证书下载:
- 包含.crt(证书文件)、.key(私钥文件)、中间证书链。
-
服务器配置示例(Nginx) :
nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:...'; } -
强制HTTPS跳转:
nginx server { listen 80; server_name example.com; return 301 https://$host$request_uri; }
6. 测试与维护
-
合规性测试:
- 使用SSL Labs检测证书配置,评分需达A+。
- 通过Mozilla SSL Configuration Generator生成合规配置模板。
-
定期维护:
- 证书有效期通常为1年,需提前30天续费。
- 监控证书状态,避免因过期导致业务中断。
三、常见问题与解决方案
-
免费证书是否可用?
Let's Encrypt等免费证书仅支持RSA算法,且有效期仅90天,仅适用于等保二级以下系统或测试环境。生产环境建议选择付费证书。 -
国密证书部署难点
- 需服务器支持国密协议(如OpenSSL 1.1.1+)。
- 配置Nginx/Apache国密模块(如gmssl)。
-
混合部署策略
对不支持国密的旧设备,可采用“双证书”方案:- 浏览器优先协商国密算法,失败后回退至RSA。
四、结语
等保密评背景下的SSL证书申请,本质是技术合规与业务安全的平衡。企业需结合等保级别、行业特性、预算等因素,选择合适的证书类型与CA机构。通过严格遵循算法要求、验证流程与部署规范,不仅能满足监管要求,更能有效抵御数据泄露、中间人攻击等安全威胁。在数字化转型加速的今天,SSL证书已成为企业网络安全防护的“第一道防线”。
