国密ssl双向认证-TopSSL

国密SSL双向认证详解

国密SSL双向认证（Mutual Authentication using SM2 Cryptography）是指在基于国产密码算法（SM2/SM3/SM4）的SSL/TLS通信中，不仅服务器向客户端证明其身份（通过国密SSL证书），同时客户端也必须向服务器提供有效的数字证书以验证自身身份。这种机制实现了双方身份可信、通信数据加密、防篡改和抗抵赖的安全目标，是国家“密评”合规中的高阶安全要求。

🔐 什么是SSL双向认证？

单向认证：仅服务器出示证书，浏览器验证后建立加密连接（常见于普通网站HTTPS）。
双向认证（mTLS, Mutual TLS）：
- 服务器发送证书供客户端验证；
- 客户端也需持有并提交个人或设备级的客户端证书（Client Certificate）供服务器验证；
- 双方均通过后才允许建立连接。

在国密环境中，该过程使用的是中国自主设计的 SM2非对称算法、SM3哈希算法 和 SM4对称加密算法，符合国家标准 GM/T 0024-2014《SSL VPN 技术规范》。

📚 国密SSL双向认证的应用场景

场景	说明
政务专网访问	各级政府机构内部系统接入，确保只有授权人员可访问敏感资源。
金融交易系统	银行间结算、核心业务接口调用等高安全性需求场景。
企业内控系统	ERP、OA、财务系统对接时实现终端设备与用户双重身份绑定。
物联网（IoT）设备接入	每个设备预置SM2客户端证书，防止非法设备接入平台。

✅ 实现国密SSL双向认证的技术要求

组件	要求
服务器端	支持国密SM2/RSA双栈协议的Web服务器（如Nginx+国密模块、Tomcat定制版）
客户端	安装支持国密算法的浏览器或专用客户端软件（如密信浏览器、360信创版）
证书类型
- 服务器证书	国密SSL证书（OV/EV级别更佳）
- 客户端证书	SM2算法的个人或设备证书，由同一CA或互信CA签发
中间件支持	国密SSL网关或国密支持模块（如沃通GMBridge、锐成国密适配层）
协议标准	符合 GM/T 0024-2014、GM/T 0009-2012 等国家标准

⚙️ 配置流程简述（诊断步骤）

环境准备
- 部署支持国密算法的Web服务器（如集成OpenSSL-GM版本的Nginx）。
- 安装国密SSL支持模块（无需硬件网关，部分品牌支持直装）。
获取证书
- 向具备资质的CA申请：
  - 服务器端：国密SSL证书
  - 客户端：SM2客户端证书（批量签发管理工具建议选用支持API的CA平台）

配置服务器启用双向认证

ssl_verify_client on;
ssl_client_certificate gmca-sm2-ca.crt; # 国密CA根证书用于验证客户端
ssl_verify_depth 2;

注意：服务器需信任签发客户端证书的国密CA。

分发客户端证书
- 将SM2客户端证书导入到用户浏览器或操作系统证书库（推荐PKCS#12格式.p12文件）。
- 用户访问时，浏览器会自动弹出选择证书对话框。
测试与兼容性处理
- 使用密信浏览器等支持国密mTLS的客户端进行测试。
- 对不支持国密的外部用户，可通过SM2/RSA双证书自适应方案降级为单向RSA加密。

💡 推荐产品（覆盖高中低预算）

以下产品均支持国密双向认证部署，并提供完整技术文档与工具链：

产品名称	验证类型	是否支持双向认证	参考价格	适用场景
沃通国密SSL证书	OV/EV	✅ 支持	￥8,999起/年	适用于需要高信任度的政务、金融系统
[CFCA国密SSL证书]	OV/EV	✅ 支持	￥12,000起/年	适用于国家级关键信息基础设施
[锐安信国密SSL证书]	DV/OV	✅ 支持（配合双证书方案）	￥3,999起/年	适用于中大型企业平滑过渡国密改造