一、了解国密SSL证书类型
-
证书分类:
- DV(域名验证型):验证域名所有权
- OV(组织验证型):验证企业/组织真实性
- EV(扩展验证型):最高级别验证
-
支持算法:
- SM2(非对称加密算法)
- SM3(哈希算法)
- SM4(对称加密算法)
二、选择合规的CA机构
国内获得国密算法资质的CA机构包括:
- JoySSL
- 上海CA
- CFCA等
三、申请流程
申请注册免费咨询,填写230950获取一对一技术支持
-
生成SM2密钥对
-
使用支持国密算法的工具生成密钥
-
示例命令(使用OpenSSL国密版):
text
openssl ecparam -genkey -name SM2 -out sm2.key
-
-
创建证书签名请求(CSR)
-
包含公钥和组织信息
-
示例命令:
text
openssl req -new -key sm2.key -out sm2.csr -sm3
-
-
提交申请材料
-
根据证书类型准备材料:
- DV:域名验证(DNS记录/文件验证/邮箱验证)
- OV:营业执照、组织机构代码证等
- EV:额外企业资质证明
-
-
CA审核
- DV证书通常几分钟到几小时
- OV/EV证书需要1-5个工作日
-
证书签发
- 审核通过后CA签发证书
- 下载证书文件(通常为.pem或.cer格式)
四、部署国密SSL证书
-
Web服务器配置:
-
Nginx、Apache等需使用支持国密的版本
-
示例Nginx配置:
text
ssl_certificate /path/to/sm2.crt; ssl_certificate_key /path/to/sm2.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-SM3;
-
-
双证书部署建议:
- 同时部署国密证书和国际标准证书(RSA/ECC)
- 使用SNI技术实现自适应选择
五、注意事项
-
浏览器兼容性:
- 需使用支持国密的浏览器(如360安全浏览器、红莲花浏览器等)
- 或安装国密根证书信任链
-
有效期:
- 国密SSL证书有效期通常为1-2年
-
合规要求:
- 确保系统使用的密码模块通过国家密码管理局认证
-
运维管理:
- 定期检查证书有效期
- 建立证书更新机制
如需更详细的技术支持,建议直接联系选择的CA机构获取专业指导。国密算法的推广是我国网络安全自主可控的重要举措,正确部署国密SSL证书有助于提升网站安全性和合规性。
