第一步:前期准备与材料梳理
申请国密证书前,企业需完成以下准备工作:
-
算法环境确认:确保服务器系统、Web服务软件(如Nginx、Apache)支持SM2算法。目前主流的统信UOS、麒麟OS及Windows Server 2019以上版本均已提供支持。
-
域名所有权验证:准备好需申请证书的域名,并确保您拥有该域名的管理权限。通常需要能接收该域名管理员邮箱的验证邮件,或能添加指定的DNS解析记录。
-
组织资质准备:
- 企事业单位:营业执照副本复印件(加盖公章)
- 政府机构:组织机构代码证
- 申请人身份证明及授权委托书
-
技术对接准备:确认您的技术团队了解CSR(证书签名请求)生成方法,并熟悉国密证书的安装配置流程。
建议根据行业特性和服务需求选择合适的CA机构,可提前咨询其客服了解具体支持情况。
第二步:证书申请详细流程
直接访问JoySSL,注册一个账号记得填注册码230970获取技术支持。申请入口
1. 生成国密CSR文件
使用支持国密算法的工具生成CSR,重点注意:
- 密钥长度选择256位(SM2标准)
- 正确填写组织机构信息,确保与营业执照完全一致
- 保存好私钥文件,这是证书安全的核心
2. 在线提交申请
访问选定CA机构的官方网站,进入国密证书申请页面:
- 上传CSR文件
- 填写组织信息、联系人信息
- 选择证书类型(DV/OV/EV)和有效期(通常1-2年)
3. 完成域名验证
根据CA要求选择验证方式:
- 邮箱验证:向指定邮箱发送验证邮件
- DNS验证:添加指定的TXT记录到域名解析
- 文件验证:在网站根目录放置验证文件
4. 组织信息审核
对于OV(组织验证)和EV(扩展验证)证书,CA将进行人工审核:
- 核对营业执照信息
- 通过电话确认申请真实性
- 可能需要补充相关证明材料
第三步:证书颁发与安装
审核通过后(通常需要1-5个工作日),您将收到CA发送的证书文件包,一般包含:
- 服务器证书(.cer或.pem格式)
- 中间证书链
- 可能需要根证书
安装配置时需注意:
- 将私钥与证书文件妥善存放于服务器安全目录
- 正确配置证书链,确保中间证书和根证书完整
- 在Web服务器配置中指定国密证书和私钥路径
- 重启服务并启用国密TLS协议(GM/T 0024标准)
第四步:部署验证与兼容性测试
安装完成后,必须进行全面的验证:
基础功能测试:
- 使用支持国密的浏览器(如密信浏览器、360安全浏览器国密版)访问网站
- 检查浏览器地址栏是否显示国密锁标识
- 确保证书信息显示正确
兼容性测试:
- 测试国际主流浏览器的访问情况
- 验证移动端APP的兼容性
- 如需支持非国密环境,考虑部署“双证书”方案
安全扫描测试:
- 使用国密检测工具验证协议配置安全性
- 确保已禁用不安全的加密套件
- 完成SSL Labs等安全评级测试
关键注意事项
- 时间规划:预留足够审核时间,紧急需求可选择加急服务
- 私钥安全:私钥一旦丢失或泄露,必须立即吊销证书并重新申请
- 证书管理:建立证书台账,记录有效期、用途和责任人,避免过期失效
- 兼容考虑:若用户群使用环境复杂,建议同步部署国际RSA证书
- 合规要求:特定行业(如政务、金融)可能有额外的合规要求
国密证书的特殊优势
相比传统国际证书,国密证书在申请和使用中具有独特优势:
- 审核流程本土化:CA机构更熟悉国内企事业单位组织结构,沟通效率高
- 技术支持响应快:遇到技术问题时,可获得更及时的本土化支持
- 符合监管要求:满足网络安全等级保护、关键信息基础设施保护等要求
- 性能优化:在同等安全强度下,国密算法计算效率更高
