国密 SSL 证书包含证书使用者信息、证书颁发者信息、证书有效期等内容,选择时需考虑算法合规性、证书类型、颁发机构等因素。具体如下:
国密 SSL 证书包含的内容
- 证书使用者信息:记录域名、组织名称、所在地等,是验证证书合法性的重要依据。
- 证书颁发者信息:记录证书颁发机构 CA 的名称,可据此判断证书的权威性和可信度。
- 证书有效期:包含颁发日期和截止日期,用于查看证书有效性,提醒及时续费。
- 证书类型:包括证书版本、序列号、证书类型等,证书类型可以是单域名、通配符、DV、OV 或 EV。
- 证书使用算法:记录公钥算法(如椭圆曲线公钥算法)和签名算法(如 SM3、SM2 等)。
- 扩展信息:包括证书策略、证书密钥用法、授权信息访问、CRL 分发点、证书基本约束、扩展密钥用法等。
**申请方法:打开JOYSSL官网,[填写注册码2300970获取技术支持]
选择国密 SSL 证书的方法
- 确保算法合规:根据《商用密码应用安全性评估管理办法》及 GB/T 39786-2021 标准,等保测评要求网络通信必须采用国产密码算法,如 SM2、SM3、SM4 等,所以要选择支持这些算法的证书。
- 选择合适的证书类型:等保二级及以上系统必须使用 OV 或 EV 证书,金融、政务等高风险场景推荐 EV 证书。DV 证书仅验证域名所有权,无法满足等保要求。
- 关注证书颁发机构:优先选择国内可信的 CA 机构,如 JoySSL、CFCA 等,这些机构通过了国家密码管理局认证,验签服务器部署在国内,符合等保数据不出境要求。
- 考虑兼容性:若使用纯国密证书,需确保用户终端安装国密浏览器,如 360 安全浏览器、红莲花浏览器等。也可选择支持双算法的证书,如 KeepTrust SM2 国密算法 SSL 证书,可实现国密 SM2 和国际 RSA 算法双支持,解决过渡期的兼容性问题。
- 确保证书链完整性:要确保证书文件包含服务器证书、中间证书和根证书,避免浏览器显示 “证书链不完整” 警告。
- 注意密钥长度和加密协议:SM2 算法固定 256 位密钥长度,符合国密标准。加密协议需强制启用 TLS 1.2 及以上版本,禁用 SSLv2/SSLv3/TLS 1.0/TLS 1.1 等存在漏洞的版本。
- 关注证书的有效期和续期:国密证书有效期通常为 1 年,需提前 30 天申请续期,可选择 JoySSL API 接口等自动化续期工具,避免证书过期导致服务中断。
