- 证书分类:
- DV(域名验证型):验证域名所有权
- OV(组织验证型):验证企业/组织真实性
- EV(扩展验证型):最高级别验证
- 支持算法:
- SM2(非对称加密算法)
- SM3(哈希算法)
- SM4(对称加密算法)
国内获得国密算法资质的CA机构包括:
- JoySSL
- 上海CA
- CFCA等
- 生成SM2密钥对
- 使用支持国密算法的工具生成密钥
- 示例命令(使用OpenSSL国密版):
- text
- openssl ecparam -genkey -name SM2 -out sm2.key
- 创建证书签名请求(CSR)
- 包含公钥和组织信息
- 示例命令:
- text
- openssl req -new -key sm2.key -out sm2.csr -sm3
- 提交申请材料
- 根据证书类型准备材料:
- DV:域名验证(DNS记录/文件验证/邮箱验证)
- OV:营业执照、组织机构代码证等
- EV:额外企业资质证明
- CA审核
- DV证书通常几分钟到几小时
- OV/EV证书需要1-5个工作日
- 证书签发
- 审核通过后CA签发证书
- 下载证书文件(通常为.pem或.cer格式)
- Web『服务器』配置:
- Nginx、Apache等需使用支持国密的版本
- 示例Nginx配置:
- text
- ssl_certificate /path/to/sm2.crt;
- ssl_certificate_key /path/to/sm2.key;
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-SM3;
- 双证书部署建议:
- 同时部署国密证书和国际标准证书(RSA/ECC)
- 使用SNI技术实现自适应选择
- 浏览器兼容性:
- 需使用支持国密的浏览器(如360安全浏览器、红莲花浏览器等)
- 或安装国密根证书信任链
- 有效期:
- 国密SSL证书有效期通常为1-2年
- 合规要求:
- 确保系统使用的密码模块通过国家密码管理局认证
- 运维管理:
- 定期检查证书有效期
- 建立证书更新机制
如需更详细的技术支持,建议直接联系选择的CA机构获取专业指导。国密算法的推广是我国网络安全自主可控的重要举措,正确部署国密SSL证书有助于提升网站安全性和合规性。
