Windows 版国密 SM2 证书 Nginx 安装指南

Windows版国密SM2证书 Nginx 安装指南

随着国产密码算法与国密 HTTPS 的逐步推广，越来越多政务、国企、金融及国产化项目开始部署国密 SM2 SSL 证书。

但很多用户在 Windows 环境下配置国密 HTTPS 时，经常会遇到：

• Nginx 无法启动
• 国密证书不生效
• 找不到证书文件
• HTTPS 无法访问
• 配置后浏览器仍提示不安全

实际上，Windows 版国密 Nginx 与普通 HTTPS 最大区别在于：

默认 Nginx 并不直接支持 SM2，需要使用支持国密算法的专用 Nginx 版本。

本文将详细介绍 Windows 环境下 Nginx 安装配置国密 SM2 SSL 证书的方法，属于SSL证书安装与部署的重要环节。

一、环境准备

1、Windows 操作系统

支持：

• Windows Server
• Windows 10 / 11

建议使用 64 位系统。

2、下载国密版 Nginx

根据系统版本下载对应安装包。

64位系统

https://www.wotrus.com/download/nginx-1.16.1.zip

32位系统

https://www.wotrus.com/download/nginx-1.18.0.zip

下载完成后，将压缩包解压至服务器目录。

例如：

D:\gmssl\

3、准备国密 SM2 证书

需要准备：

• RSA SSL证书
• SM2签名证书
• SM2加密证书
• 对应 KEY 文件

部分国密 HTTPS 场景需要同时部署：

• RSA证书
• SM2证书

实现浏览器兼容。

二、安装配置国密证书

本文以：

D:\gmssl\nginx-1.16.0

为例。

实际目录请根据服务器环境调整。

1、解压 Nginx 安装包

将下载的国密版 Nginx 解压至：

D:\gmssl\

例如：

D:\gmssl\nginx-1.16.0

2、创建 SSL 证书目录

进入：

nginx\conf\

新建：

ssl

目录。

例如：

D:\gmssl\nginx-1.16.0\conf\ssl

3、上传国密证书文件

解压 SM2 国密证书压缩包后，通常会得到：

test.domain.com_rsa
test.domain.com_sm2_encrypt
test.domain.com_sm2_sign

三个目录。

请将：

• crt证书文件
• key私钥文件

复制到刚才创建的：

conf\ssl

目录中。

通常会包含：

• 一个 RSA crt/key
• 两个 SM2 crt
• 一个 SM2 key

三、配置 Nginx 国密 HTTPS

1、编辑 nginx.conf

打开：

conf/nginx.conf

在：

http {

中加入：

include ssl.conf;

2、新建 ssl.conf 文件

进入：

nginx/conf/

新建：

ssl.conf

3、配置国密 HTTPS

编辑：

ssl.conf

加入以下配置：

server {
    listen 443 ssl;

    server_name domain.com;

    ssl_certificate      d:/gmssl/nginx-1.16.0/conf/ssl/domain.com_rsa.crt;
    ssl_certificate_key  d:/gmssl/nginx-1.16.0/conf/ssl/domain.com_rsa.key;

    ssl_certificate      d:/gmssl/nginx-1.16.0/conf/ssl/domain.com_sign.crt;
    ssl_certificate_key  d:/gmssl/nginx-1.16.0/conf/ssl/domain.com_sm2.key;

    ssl_certificate      d:/gmssl/nginx-1.16.0/conf/ssl/domain.com_en.crt;
    ssl_certificate_key  d:/gmssl/nginx-1.16.0/conf/ssl/domain.com_sm2.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

    ssl_ciphers ECC-SM4-SM3:ECDH:AESGCM:HIGH:MEDIUM:!RC4:!DH:!MD5:!aNULL:!eNULL;

    ssl_prefer_server_ciphers on;

    location / {
        root html;
        index index.html index.htm;
    }
}

四、国密双证书配置说明

需要特别注意：先配置签名证书，再配置加密证书

即：

sign.crt

在前，

en.crt

在后。

同时：

SM2 签名证书与加密证书通常共用同一个 KEY 文件。

否则可能导致：

• HTTPS 无法启动
• 国密握手失败
• 浏览器无法访问

五、启动 Nginx

配置完成后，以管理员身份启动 Nginx。

建议：

使用 Administrator 账户运行

否则可能出现：

• 无法读取证书
• 权限不足
• 找不到 KEY 文件

启动命令

进入 Nginx 目录：

cd D:\gmssl\nginx-1.16.0

启动：

start nginx

重载配置：

nginx -s reload

停止：

nginx -s stop

六、国密 HTTPS 常见问题

1、Nginx 启动失败

大部分情况是：

• 证书路径错误
• KEY 文件不匹配
• 配置顺序错误

建议检查：

ssl_certificate
ssl_certificate_key

路径是否正确。

2、浏览器无法访问 HTTPS

目前：

• Chrome
• Edge
• Firefox

默认并不完全支持纯国密 HTTPS。

部分场景需要：

• 国密浏览器
• 双证书兼容
• 国产化终端环境

3、提示找不到证书文件

Windows 环境中：

• 路径错误
• 权限不足
• 非管理员运行

都可能导致证书读取失败。

4、HTTPS 已开启但仍提示不安全

通常与以下问题有关：

七、国密SM2证书适用于哪些场景？

国密 HTTPS 目前主要用于：

• 政务平台
• 国企系统
• 金融行业
• 信创环境
• 国产化项目
• 等保合规系统

尤其涉及国产密码算法、国密合规要求、SM2 / SM3 / SM4场景时，通常需要部署国密 SSL 证书。

八、总结

Windows 环境部署国密 SM2 HTTPS 与普通 SSL 最大区别在于：

必须使用支持国密算法的专用 Nginx 版本。

实际部署过程中最容易出现的问题包括：

• 证书路径错误
• SM2证书顺序错误
• 权限不足
• 浏览器兼容问题
• 双证书配置异常

建议部署完成后，及时检测 HTTPS 是否正常访问，并确认RSA证书、SM2签名证书、SM2加密证书均已正确配置。

沃通给出的安装参考（图示）

下图为沃通给出的安装教程，可参考