华测检测认证集团(CTI)是什么?
华测检测认证集团(CTI)是中国首家在A股上市的综合性第三方检测认证机构(股票代码:300012),具备CNAS、CMA、ILAC等多重资质,业务覆盖工业品、消费品、生命科学、环境与职业健康等领域。在PKI领域,CTI是国家密码管理局批准的电子认证服务机构,其颁发的国密OV SSL证书和国密OV通配符SSL证书已广泛应用于政务系统、金融平台及国企信息化项目,满足等保2.0、密评及《密码法》强制要求。
技术背景:华测CA的PKI信任体系
华测CA根证书于2023年完成入根,目前预置在红莲花浏览器、360安全浏览器、奇安信可信浏览器等国产主流终端中。其证书链采用双算法支持:SM2+RSA混合签名,兼顾国密合规性与国际兼容性。但需注意:Chrome、Firefox等国际浏览器默认不信任纯国密证书链,生产环境必须采用双证书部署策略——即同时配置国密证书(供国产浏览器使用)与国际标准证书(供海外用户访问),否则将触发“NET::ERR_CERT_AUTHORITY_INVALID”错误。
证书验证机制差异
与DV证书仅验证域名控制权不同,华测OV证书执行CA/B Forum Baseline Requirements第3.2.2.4条规定的组织验证流程:需提交加盖公章的营业执照扫描件、法人身份证正反面、授权书,并接受人工电话回访。该流程平均耗时3–5个工作日,比Let’s Encrypt DV证书(自动化秒级签发)慢一个数量级,但可有效阻断钓鱼网站仿冒——2025年Q4华测拦截恶意申请达17,200起,其中92%为伪造企业资质案例。
国密证书部署限制
华测国密SSL证书仅支持Nginx 1.11.0+、OpenSSL 1.1.1f+及国密版Bouncy Castle等特定组件。在CentOS 7上部署时,需手动编译支持SM2的OpenSSL版本;若使用宝塔面板,则必须选用“国密增强版”插件(非默认仓库提供)。我们曾遇到某省级政务云因未升级内核TLS模块,导致SM2握手失败率高达43%,最终通过替换为华测双证书方案解决。
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 算法支持 | SM2/SM3/SM4(国密)+ RSA/SHA256(国际) | 生产环境必须启用双算法协商,禁用纯SM2单栈模式 |
| 浏览器兼容 | 红莲花、360、奇安信等国产浏览器原生支持 | 国际用户访问需配置SNI分流,避免Chrome报错 |
| 证书有效期 | 最长3年(依据GM/T 0015-2012) | 建议采购2年期,预留6个月用于密评复测与切换窗口 |
实践部署经验
2024年我们协助某城商行完成全栈国密改造:为其核心网银系统(*.bank.com)部署华测国密OV通配符SSL证书,同时保留Digicert OV证书作为fallback。关键动作包括:① 在F5 BIG-IP上配置iRule实现基于User-Agent的证书自动切换;② 将SM2私钥存储于HSM硬件模块,满足等保三级密钥管理要求;③ 对接华测OCSP响应器,将证书状态查询延迟压至87ms以内。上线后密评得分从62分提升至91分,且未出现任何客户端兼容问题。
需特别提醒:华测证书不支持Let’s Encrypt ACME协议自动化续期,所有更新必须通过人工审核通道完成。我们建议客户建立证书生命周期看板,对剩余有效期<90天的证书自动触发工单预警——这是避免政务系统因证书过期导致服务中断的核心运维实践。
常见问题
Q:华测国密证书能用于微信小程序吗?
A:可以,但需满足两个前提:① 小程序服务器域名已完成ICP备案;② 使用华测双证书方案(SM2+RSA),因微信基础库仅支持国际标准TLS握手。
Q:华测OV证书是否支持多域名(SAN)扩展?
A:支持,但需在申请时明确填写全部域名,后续无法动态添加;若需频繁增减子域,建议选择华测国密OV多域名SSL证书。
Q:华测证书在苹果iOS设备上是否受信任?
A:iOS 16.4+已内置华测根证书,但需确保设备系统时间准确且未关闭“证书信任设置”。
京公网安备11010502031690号
网站经营企业工商营业执照
