什么是华测CA?
华测CA(CTI Certification)是国内获得电子认证服务资质和WebTrust国际审计认证的CA机构,
主要提供SSL证书、国密SSL证书、代码签名证书等数字证书产品,
广泛应用于政务、金融、教育和企业网站HTTPS加密场景。
华测CA有哪些产品?
| 产品类型 | 适用场景 |
|---|---|
| DV SSL证书 | 企业官网、博客 |
| OV SSL证书 | 企业网站 |
| EV SSL证书 | 金融、政务 |
| 国密SSL证书 | 等保、密评 |
| 通配符SSL证书 | 多子域名网站 |
| 多域名SSL证书 | 多站点统一管理 |
华测CA有哪些优势?
华测的优势明显,他们具有:
- 国产CA机构
- 支持国密SM2算法
- 支持RSA国际标准证书
- 满足等保和密评要求
- 支持政务和金融行业采购
华测CA技术背景与合规性
CA/B Forum 与国密双轨合规
华测CA同时满足CA/Browser Forum Baseline Requirements(全球PKI行业强制标准)和中国《GM/T 0024-2014 SSL VPN技术规范》《GM/T 0009-2012 SM2密码算法应用规范》要求。
其EV/OV证书支持RSA+SM2双算法证书链,既兼容Chrome/Firefox等国际浏览器,也适配红莲花、360极速等国密浏览器。
2025年Q4起,华测已全面启用SHA-384签名与ECDSA-P384密钥对,淘汰SHA-1与1024位RSA。
证书信任链结构
华测CA采用三级信任链架构:
根证书(CTI Root CA)→ 中间证书(CTI Domain Validation CA / CTI Organization Validation CA)→ 终端实体证书。
所有中间证书均通过AIA(Authority Information Access)扩展自动分发,避免因证书链不完整导致的“NET::ERR_CERT_AUTHORITY_INVALID”错误。
其根证书已嵌入Windows 10/11、macOS Ventura+、Android 12+系统信任库,无需手动导入。
华测CA核心技术机制
国密SM2证书工作原理
华测国密SSL证书基于SM2椭圆曲线公钥密码算法,私钥长度256位,安全强度等效于RSA 3072位。
握手阶段采用SM2密钥交换(ECDH-SM2)与SM4对称加密,全程使用国密SSL协议栈(TLS 1.2+国密套件),不依赖OpenSSL国际版。
实际部署中需配合国密版Nginx或WebLogic,且服务器必须加载SM2国密SSL模块(如openssl-sm2 1.1.1t)。
浏览器证书验证流程
当用户访问华测签发的HTTPS网站时,浏览器执行三重验证:
- ① 检查证书有效期与域名匹配(Subject Alternative Name);
- ② 逐级回溯验证证书链签名(CTI Intermediate → CTI Root);
- ③ 查询OCSP响应器(ocsp.cti-cert.com)确认证书未吊销。
若任一环节失败,Chrome将显示“您的连接不是私密连接”。
注意:华测SM2证书在非国密浏览器中仅显示基础加密,不显示绿色地址栏标识。
华测CA与CFCA、沃通区别
| CA机构 | 国际兼容 | 国密支持 | 适用场景 |
|---|---|---|---|
| 华测CA | ★★★★★ | ★★★★★ | 政务、企业 |
| 沃通 | ★★★★★ | ★★★★★ | 政务、金融 |
| CFCA | ★★★★ | ★★★★★ | 银行、金融 |
| sslTrus | ★★★★★ | ★★★★ | 企业网站 |
常见问题
Q:华测CA签发的SSL证书能在苹果iOS设备上正常信任吗?
A:能。
华测根证书已预置在iOS 15.4+系统中,但需确保证书链完整(含CTI Intermediate证书),且服务器TLS配置启用TLS 1.2+协议。
Q:华测国密证书是否支持Let’s Encrypt的ACME协议自动续签?
A:不支持。
华测CA未开放ACME接口,必须通过其管理后台或API V3手动触发续签,建议设置提前30天告警机制。
Q:购买华测OV证书后,能否免费升级为EV证书?
A:不能。
OV与EV属于不同验证等级,需重新提交企业资质文件并支付差价,审核周期独立计算。
京公网安备11010502031690号
网站经营企业工商营业执照
