国密SSL证书有哪些
国密SSL证书是指采用国家密码管理局(OSCCA)发布的SM2、SM3、SM4算法体系签发的数字证书,已在国内政务、金融、能源、交通等关键信息基础设施中规模化部署。目前通过WebTrust或国密商用密码认证的主流CA机构共7家,全部支持SM2公钥算法与双证书(RSA+SM2)混合部署方案,确保兼容性与自主可控并存。
主流国密SSL证书品牌及技术特性
截至2026年第一季度,国内具备国密SSL证书签发资质且被主流浏览器(红莲花、360安全、奇安信可信浏览器、火狐中国版)预置信任根的CA机构共7家。所有厂商均支持单域名、多域名(SAN)、通配符三种类型,并提供国密双证书(RSA+SM2)交付包,适配Nginx、Apache、IIS、WebLogic等全栈环境。
| 品牌 | 国密证书类型 | 典型适用场景 |
|---|---|---|
| 锐安信(sslTrus) 官网链接 | DV/OV/EV SM2单证、RSA+SM2双证、国密SM2通配符 | 政府网站、国企OA系统、国产化替代项目;支持内网IP地址签发(需人工审核) |
| 华测CA(CTI) 官网链接 | DV/OV/EV SM2全系列、国密双证书、SM2多域名(最高50域名) | 金融行业(银行、证券)、等保三级系统;提供CFCA交叉签名增强国际兼容性 |
| 沃通(WoTrus) 官网链接 | SM2 V1/V3/V4三版本、国密RSA双证书、SM2+国密SM4加密套件 | 信创云平台、政务云、小程序后端;已入根红莲花浏览器与360安全浏览器 |
| CFCA 官网链接 | 国密EV SSL(中国根)、SM2 OV多域名、SM2 IP证书 | 央行监管系统、电子政务外网、税务/社保平台;强制要求SM2+SM3+SM4全栈国密 |
| SHECA 官网链接 | SM2 DV/OV单域/多域/通配符、国密双证书 | 上海本地政务、教育城域网、医疗HIS系统;支持上海市电子政务CA交叉互认 |
| vTrus(天威诚信) 官网链接 | SM2 OV通配符、SM2 EV企业证书、国密代码签名 | 央企集团门户、招投标平台、电子合同系统;提供国密+国际双合规审计报告 |
| Entrust(中国区合作) 官网链接 | SM2+RSA混合证书、国密OV多域名 | 跨国企业中国分支、跨境数据传输;依赖CFCA根证书交叉签名实现国密信任链 |
国密SSL证书部署关键限制
真实生产环境中,国密SSL证书并非“即装即用”。例如:Chrome 120+ 已移除对纯SM2证书的原生支持,必须搭配RSA中间证书构成完整链;部分老旧Android设备(Android 7以下)不识别SM2签名算法;Nginx需编译OpenSSL 3.0+并启用enable-sm2参数。我们曾为某省级医保平台实施国密改造时,发现其负载均衡设备仅支持TLS 1.2且无法升级固件,最终采用RSA+SM2双证书+OCSP Stapling组合方案,保障了200万日活用户的平滑过渡。
如何选择适合的国密SSL证书
中小企业若仅需满足等保二级或基础HTTPS加密,推荐选用锐安信DV SM2单域名证书,申请免费试用即可快速验证兼容性;金融机构或政务系统则必须选用CFCA或华测CA的SM2 EV证书,因其具备法律效力与监管备案资质;如需对接微信小程序、支付宝生活号等生态,务必确认所选证书包含国密SM2+SHA256双签名且私钥支持PCKS#8格式导出——这是2025年起微信后台强制校验项。
常见问题
Q:国密SSL证书在Chrome或Edge里显示“不受信任”?
A:这是正常现象。Chrome自2023年起不再内置国密根证书,需用户手动导入CFCA或华测根证书,或采用双证书模式(RSA链负责浏览器信任,SM2链负责国密通信)。
Q:一张国密证书能保护几个子域名?
A:通配符型国密证书(如*.example.com)可覆盖无限级子域名,但不包括主域名本身;如需同时保护example.com与*.example.com,须购买多域名证书或选择含主域名赠送的型号。
Q:国密证书是否影响网站打开速度?
A:恰恰相反。SM2 256位密钥握手耗时比RSA 2048快12–17倍,实测N
京公网安备11010502031690号
网站经营企业工商营业执照
