国密证书怎么申请?为什么要搞双证书部署

更新时间:2025-09-23 来源:TopSSL技术团队

什么是国密SSL证书,价格怎么样

国密SSL证书是采用SM2、SM3、SM4国产密码算法体系签发的HTTPS证书,主要用于满足等保2.0、密码法及政务、金融、央企等国产化建设要求。

目前国密SSL证书申请流程与普通SSL证书类似,但需要选择支持国密算法的CA机构,并确认服务器、浏览器及负载均衡设备具备国密兼容能力。

根据证书类型、品牌和部署方案不同,国密SSL证书价格通常从数百元到数千元不等。

为什么需要国密SSL证书

满足政策硬性合规(政企刚需)

国内的政务官网、金融机构(银行/证券)、医疗系统、国企以及重要基础设施,必须通过国家《密码法》、网络安全等级保护(等保三级及以上)和“密评”(密码应用安全性评估)的合规审计。

不换国密(SM2),过不了国家层面的合规检查。

实现自主可控与网络主权

传统的国际 SSL 证书的核心根证书完全由国外 CA 机构控制。一旦发生地缘政治摩擦或国际单方面封锁,这些国外证书可能随时被吊销或拒绝续签,导致国内核心系统大面积翻车。

国密算法完全由我国自主研发,保障了核心网络传输的安全与主权。

金融级的高安全性

国密 SM2 算法是基于椭圆曲线密码(ECC)机制设计的,其256位密码强度远远高于传统的国际 2048位 RSA 算法

同时,它具备更高的破译难度和更快的传输加密效率,在防窃听、防篡改、数据脱敏等维度能提供更强的物理保护。

国密SSL证书申请流程

国密证书的申请比国标证书申请繁琐,大概流程是:

准备国密申请文件

国密证书不能用普通的国际 RSA 工具生成。

必须使用支持国密算法的特定工具(如云厂商后台、OpenSSL国密版或国密合规的在线工具),生成包含 SM2 算法的 CSR 文件和私钥,此步有的品牌不需要,具体可以咨询在线技术。

在平台提交申请并选型

登录TopSSL证书服务平台,选择支持国密的权威商品(如锐安信 sslTrus** 或 CFCA 的 SM2 产品线)。

完成所有权与企业身份验证

如果是 DV 型:去域名解析后台(如阿里云、腾讯云)加一条指定的 DNS TXT 记录,几分钟自动签发。

如果是 OV / EV 型(最常见):需要提交企业营业执照、组织机构代码,并配合 CA 机构完成对公银行打款验证或官方电话核实。

下载并部署国密双证书

审核通过后,下载国密格式(通常包含加密证书、签名证书及对应的私钥文件)的证书包。

由于目前常规浏览器不直接原生认国密,生产环境通常需要部署“国密+国际(RSA)”双证书**,让系统自动识别:

老外访问走 RSA,国密浏览器访问走 SM2。

国密SSL证书费用怎么算?

具体还是咨询TopSSL证书服务平台的在线客服吧

类型价格区间
DV国密SSL几百元
OV国密SSL千元级
EV国密SSL数千元
国密RSA双证书通常高于单国密证书

国密SSL证书和普通SSL证书有什么区别?

项目国密SSL普通SSL
算法SM2/SM3/SM4RSA/ECC
合规要求国产密码体系国际标准
浏览器兼容性需国密支持全球通用
适用行业政务、金融、国企通用互联网

什么是国密RSA双证书?

由于部分浏览器和客户端暂不支持SM2算法,因此很多网站采用“双证书部署”模式:

国密证书负责满足国产化要求;RSA证书负责兼容Chrome、Edge、Safari等国际浏览器。

服务器会根据用户的浏览器类型自动握手:国产浏览器走国密加密,国际浏览器走通用加密。

针对这种主流的双证书兼容性需求,

国内各大 CA 机构都推出了对应的成熟支持方案:

沃通(WoTrus)双证书方案

支持在 Windows 和 Linux 的国密版 Nginx/Apache 上一站式配置。

沃通提供自主签发的 SM2 证书和国际顶级 CA(如 Sectigo)根证书签发的 RSA 证书。适合既需要海外高兼容性,又需要快速完成国密升级的中小企业及电商平台。

CFCA(中国金融认证中心)双证书方案

CFCA是国家级权威安全认证机构,其根证书已正式内置于微软、谷歌、苹果、火狐等全球主流根证书信任列表。CFCA是国内银行、证券、保险等金融机构以及核心政务系统的标配。

因为它的 RSA 部分也是完全自主审计的,不依赖国外二级 CA,物理安全级别最高,是密评和等保测评的首选。

锐安信(sslTrus)双证书方案

锐安信是国内极具性价比的国产自主数字证书品牌。

通过将 OCSP 验签服务器本土化部署,大幅优化了国内环境下的 HTTPS 握手速度。

其国密证书在红莲花、360等国产浏览器上拥有 100% 预置率。适合大中型企业官网、政企内网系统及 B2B 平台,在兼顾合规与高兼容性的前提下,企业审核成本和购买预算更为亲民。

华测(CTI)双证书方案

依托国内知名检测认证上市集团,其数字证书服务在第三方权威合规性审计上非常过硬。

提供从国密合规到全球信任证书的组合套装。适合需要满足国内供应链审查、制造行业合规、以及上市公司特定网络安全审计需求的企业网站。

常见问题

国密SSL证书一定要买吗?

只有涉及国产密码合规要求的场景通常需要。

免费SSL证书支持国密证书吗?

不支持。

Chrome支持国密SSL证书吗?

原生Chrome不支持纯SM2模式。

通常需要双证书方案。

Nginx支持国密SSL吗?

原生Nginx不支持,需要:

  • BabaSSL
  • Tongsuo
  • GMSSL

等国密增强版本。

上一篇:什么是SSL证书控制台 下一篇:如何购买SSL证书?从申请到部署的完整流程
继续阅读
更多关于国密证书怎么申请?为什么要搞双证书部署相关文章
国产SSL vs 国密SSL有什么区别?价格、兼容性、适用场景全面对比 CFCA证书TXT格式转换_国密SM2双证书安装教程 国密证书双证书双算法方案 国密 SSL 证书:守护网络安全的中国力量 沃通国密根证书入根红莲花浏览器! 国密SM2证书Nginx安装指南 Windows 版国密 SM2 证书 Nginx 安装指南 华测CA双证书国密SSL证书应用部署方案,完成国密算法HTTPS加密升级改造。 WoTrus沃通:典型的Web国密改造方案。 支持国密ssl证书的浏览器有哪些?
工具
立即探索,帮您快速寻找适合您的SSL数字证书 申请SSL证书
免费SSL证书 - SSL证书申请与HTTPS加密平台 | TopSSL
提供免费与付费SSL证书申请
关注 TopSSL 公众号, RSS订阅SSL资讯与技术支持

2004-2026 © 北京传诚信  版权所有 | TopSSL 提供免费SSL证书申请、HTTPS加密部署及企业级SSL证书服务,支持网站安全连接、数字证书安装与浏览器信任验证。  北京市朝阳区鹏景阁大厦16层

技术协助:wo@topssl.cn 企业咨询:vip@topssl.cn