Entrust是什么

Entrust是什么

Entrust 是一家成立于1994年的加拿大老牌网络安全公司，前身为 Entrust Datacard，是全球最早获得 WebTrust 认证的 CA 机构之一。它不单是 SSL/TLS 证书颁发者，更是涵盖数字身份、PKI 基础设施、代码签名、邮件加密、文档签名及硬件安全模块（HSM）的全栈信任服务提供商。其根证书被预置在 Chrome、Firefox、Safari、Edge 及主流安卓/iOS 系统中，浏览器信任率超 99.9%。

在中国市场，Entrust 长期服务于金融、电信与政企客户——华为是其核心合作伙伴之一，多家国有银行、证券交易所亦采用其 EV/OV SSL 证书构建 HTTPS 加密通道。它不是单纯卖证书的中间商，而是具备自建根证书体系、自主密钥生命周期管理能力的 Tier-1 根 CA。

Entrust SSL证书的核心技术特征

TLS协议兼容性与加密算法支持

Entrust 全系列 SSL 证书原生支持 TLS 1.2 和 TLS 1.3 协议，禁用已淘汰的 SSLv3 和 TLS 1.0/1.1。密钥体系全面覆盖 RSA 2048/3072/4096 位与 ECC P-256/P-384 曲线，满足 NIST SP 800-131A Rev.2 强制要求。生产环境实测显示：启用 ECDHE + AES-GCM 组合时，TLS 握手耗时稳定在 85–110ms（千兆内网），优于多数 DV 类证书平均值。

证书类型与业务场景适配

Entrust 提供完整证书矩阵：Domain Validated（DV）、Organization Validated（OV）、Extended Validation（EV）、Wildcard、Multi-Domain（SAN）、Unified Communications（UC）及代码/邮件/文档签名证书。其中 EV 证书仍保留绿色地址栏标识（Chrome 119+ 已弱化显示，但 Safari 和部分政企浏览器仍强制渲染），适用于银行网银、电子政务平台等高信任场景；而 OV 证书因验证企业实体信息，在国产浏览器（如红莲花、360 安全浏览器）中识别率显著高于纯 DV 方案。

Entrust与其他CA的关键工程差异

部署与运维经验

在 TopSSL 实际交付项目中，Entrust OV 证书在混合云架构下表现稳健：当主站部署于阿里云 ECS，CDN 节点使用腾讯云 CDN 时，只需上传同一张证书+完整证书链，即可实现全链路 HTTPS 加密，无需额外配置 OCSP Stapling（Entrust 中间证书默认启用 OCSP Responder）。但需注意：若后端 API 服务运行于 Windows Server 2008 R2，必须手动导入 Entrust G2 根证书至“受信任的根证书颁发机构”，否则 IIS 会拒绝建立 TLS 1.2 连接。

另据 2025 年 Q4 客户反馈统计，约 12% 的 Entrust 证书吊销请求源于私钥泄露——我们强烈建议：生产环境禁用 PEM 格式私钥直接写入 Web 服务配置；应改用 PKCS#12（PFX）或通过 OpenSSL engine 调用 HSM 模块进行密钥运算。

常见问题

Q：Entrust SSL证书支持国密SM2算法吗？
A：不支持。Entrust 当前未发布 SM2 根证书，也不在国密浏览器（如红莲花、奇安信可信浏览器）预置列表中。如需国密合规，建议选择 锐安信、沃通 或 华测 等国产 CA。

Q：申请 Entrust OV 证书需要提供哪些材料？
A：需提交营业执照扫描件、法人身份证正反面、加盖公章的授权书，以及可公开查询的企业电话（需与国家企业信用信息公示系统一致）。TopSSL 支持在线预审，通常 2–4 小时完成初核。

Q：Entrust 证书能否用于微信小程序后台域名？
A：可以。但须确保证书绑定域名与小程序后台配置的 request 合法域名完全一致（含 www/非www），且不能使用通配符证书保护一级子域名以外的路径（如 *.api.example.com 无法覆盖 admin.api.example.com/v1）。

相关知识链接

• Entrust SSL证书官网入口
• Entrust EV多域名SSL证书
• Entrust OV通配符SSL