CFCA SSL证书只有国密证书吗?
不是。CFCA(中国金融认证中心)同时提供符合国际标准的RSA/SHA-256算法SSL证书和符合国家商用密码标准的SM2/SM3国密SSL证书,二者并行运营、适用场景不同。其RSA证书广泛用于银行网银、证券行情系统等需全球浏览器兼容的生产环境;国密证书则专为等保三级、密评要求及政务云、央企信创改造项目设计。
CFCA SSL证书的技术双轨制
CFCA是国家批准设立的权威电子认证服务机构,也是国内唯一同时具备国际WebTrust认证与国家密码管理局《商用密码产品认证证书》资质的CA机构。它并非只签发国密证书,而是构建了“RSA+SM2”双算法证书体系:RSA证书面向全球化访问场景,SM2证书面向国产化替代与密评合规场景。这种双轨能力使其成为金融行业SSL证书采购的核心选择之一。
CFCA RSA证书:国际兼容性优先
CFCA的RSA系列SSL证书(如CFCA OV SSL、CFCA EV SSL)完全遵循CA/Browser Forum Baseline Requirements,支持TLS 1.2/1.3,被Chrome、Firefox、Safari、Edge等所有主流浏览器默认信任。其根证书已预置在Windows、macOS、Android系统中,签发后无需额外配置即可实现全链路可信。该类产品适用于面向公众的网银门户、手机银行App后端API、跨境支付平台等对全球终端兼容性要求极高的系统。
CFCA 国密SSL证书:密评刚需落地
CFCA国密SSL证书采用SM2非对称加密+SM3哈希+SM4对称加密组合,满足《GB/T 32918》《GM/T 0024》等标准,已通过国家密码管理局商用密码检测中心认证。该证书必须配合国密SSL网关或支持SM2的Nginx/OpenSSL模块使用,当前仅被360安全浏览器(信创版)、奇安信可信浏览器、红莲花、统信UOS内置浏览器等国产信创环境原生支持。典型部署于省级政务云、央行分支机构内网、国企核心业务系统等密评必检场景。
关键工程限制:不可混用,需架构适配
CFCA不提供“一张证书同时含RSA和SM2公钥”的混合证书。
实际部署中,若需兼顾国际用户与国产终端,必须采用双证书+智能分流方案:前端负载均衡(如F5、Nginx Plus)依据ClientHello中的Supported Groups或ALPN字段识别客户端能力,自动路由至RSA或SM2后端服务集群。该方案已在多家省级大数据局HTTPS改造项目中验证可行,但会增加运维复杂度与证书管理成本。
| 指标 | CFCA RSA证书 | CFCA 国密SM2证书 |
|---|---|---|
| 算法标准 | RSA 2048 / SHA-256 | SM2 / SM3 / SM4 |
| 浏览器信任范围 | 全球所有现代浏览器 | 360信创版、奇安信、红莲花、统信UOS等 |
| 签发周期 | 1–3个工作日(OV/EV需人工审核) | 1–4个工作日(需提交密评材料) |
| 典型应用场景 | 网银外网、证券交易接口、跨境B2B平台 | 政务OA、医保结算平台、国企ERP内网 |
工程实践建议
对于金融类客户,TopSSL专家建议:新系统立项阶段即明确是否需通过密评。若需,则直接选用CFCA国密SSL证书并同步采购国密SSL网关;若仅为提升外网HTTPS安全性且无密评硬性要求,CFCA RSA证书仍是更稳妥的选择——其根证书稳定性高,2023年CFCA主根升级后未发生任何信任中断事件。值得注意的是,CFCA自2025年起已停止为新申请者签发单算法RSA证书,所有新签发证书均默认附带SM2备用公钥(仅作未来平滑迁移准备,不启用),这是其向全栈国密演进的重要信号。
常见问题
Q:CFCA的国密证书能否在Chrome中使用? A:不能。Chrome目前未集成SM2算法栈,访问将触发NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误。必须使用国密专用浏览器或通过SSL网关做协议转换。
Q:已有CFCA RSA证书,能直接升级为国密证书吗? A:不能。RSA与SM2属于不同密钥体系,需重新生成SM2密钥对、提交新CSR,并完成密评相关材料审核。
Q:CFCA国密证书是否支持通配符? A:支持。CFCA提供SM2通配符SSL证书(如*.example.gov.cn),但需注意:通配符仅覆盖一级子域名,且密评报告中须明确列出所有拟保护域名。
京公网安备11010502031690号
网站经营企业工商营业执照
