华测CA是什么

华测CA是什么

华测CA（全称：华测认证（深圳）有限公司，CTI Certification）是国家密码管理局批准设立的电子认证服务机构，具备《电子认证服务许可证》和《商用密码产品生产定点单位证书》，是中国首批通过WebTrust国际审计的国产权威CA机构之一。其签发的SSL证书已预置在主流操作系统及浏览器信任库中，可直接用于网站HTTPS加密部署。

技术背景与合规性

CA/B Forum 与国密双轨合规

华测CA同时满足CA/Browser Forum Baseline Requirements（全球PKI行业强制标准）和中国《GM/T 0024-2014 SSL VPN技术规范》《GM/T 0009-2012 SM2密码算法应用规范》要求。其EV/OV证书支持RSA+SM2双算法证书链，既兼容Chrome/Firefox等国际浏览器，也适配红莲花、360极速等国密浏览器。2025年Q4起，华测已全面启用SHA-384签名与ECDSA-P384密钥对，淘汰SHA-1与1024位RSA。

证书信任链结构

华测CA采用三级信任链架构：根证书（CTI Root CA）→ 中间证书（CTI Domain Validation CA / CTI Organization Validation CA）→ 终端实体证书。所有中间证书均通过AIA（Authority Information Access）扩展自动分发，避免因证书链不完整导致的“NET::ERR_CERT_AUTHORITY_INVALID”错误。其根证书已嵌入Windows 10/11、macOS Ventura+、Android 12+系统信任库，无需手动导入。

核心技术机制

国密SM2证书工作原理

华测国密SSL证书基于SM2椭圆曲线公钥密码算法，私钥长度256位，安全强度等效于RSA 3072位。握手阶段采用SM2密钥交换（ECDH-SM2）与SM4对称加密，全程使用国密SSL协议栈（TLS 1.2+国密套件），不依赖OpenSSL国际版。实际部署中需配合国密版Nginx或WebLogic，且服务器必须加载SM2国密SSL模块（如openssl-sm2 1.1.1t）。

浏览器证书验证流程

当用户访问华测签发的HTTPS网站时，浏览器执行三重验证：① 检查证书有效期与域名匹配（Subject Alternative Name）；② 逐级回溯验证证书链签名（CTI Intermediate → CTI Root）；③ 查询OCSP响应器（ocsp.cti-cert.com）确认证书未吊销。若任一环节失败，Chrome将显示“您的连接不是私密连接”。注意：华测SM2证书在非国密浏览器中仅显示基础加密，不显示绿色地址栏标识。

工程实践与部署经验

典型部署限制

华测CA对通配符证书（*.example.com）实施严格管控：不支持DNS CNAME记录验证，必须通过DNS TXT记录或HTTP文件方式完成域控制验证（DCV）。且单张证书最多保护100个SAN域名（含主域名），超出需升级为多域名证书。2026年起，所有新签发证书默认有效期为398天（CA/B Forum BR 2.8.2新规），旧版3年期证书续费时将按年分段签发。

真实运维经验

某省级政务平台曾因误用华测DV证书替代EV证书，导致在Edge浏览器中无法显示单位名称。经排查发现：其证书主题字段OU=“XX省大数据局”未通过OV/EV增强验证，仅DV证书允许该字段存在但不参与浏览器显示逻辑。最终改用华测EV证书并提交营业执照+组织机构代码证原件扫描件，3个工作日内完成审核并显示绿色锁形标识与单位名称。该案例印证了证书类型选择与业务场景强耦合。

常见问题

Q：华测CA签发的SSL证书能在苹果iOS设备上正常信任吗？ A：能。华测根证书已预置在iOS 15.4+系统中，但需确保证书链完整（含CTI Intermediate证书），且服务器TLS配置启用TLS 1.2+协议。

Q：华测国密证书是否支持Let’s Encrypt的ACME协议自动续签？ A：不支持。华测CA未开放ACME接口，必须通过其管理后台或API V3手动触发续签，建议设置提前30天告警机制。

Q：购买华测OV证书后，能否免费升级为EV证书？ A：不能。OV与EV属于不同验证等级，需重新提交企业资质文件并支付差价，审核周期独立计算。

相关知识链接

• 华测DV SSL证书
• 华测OV SSL证书
• 华测EV SSL证书
• 华测国密DV通配符SSL证书