华测SSL颁发的数字证书有哪些
华测CA(CTI)作为国家密码管理局批准的电子认证服务机构,提供覆盖全验证等级、全算法类型、全应用场景的数字证书体系。其SSL/TLS证书已预置在主流操作系统与浏览器信任库中,支持从基础域名加密到国密合规改造的完整需求。
核心技术分类
DV / OV / EV 三类验证等级全覆盖
华测SSL证书严格遵循CA/Browser Forum Baseline Requirements,按验证强度分为三类:DV证书面向个人与测试环境,10分钟自动签发;OV证书需人工核验企业注册信息,适用于中小企业官网与后台系统;EV证书执行最严尽职调查,支持绿色地址栏显示企业名称,常见于银行、政务及电商平台。三者均支持单域名、多域名(SAN)、通配符三种部署形态,满足不同规模网站的HTTPS加密需求。
双算法支持:RSA + 国密SM2
华测是国内首批实现RSA与SM2双证书并行签发的CA机构。其RSA证书兼容全球99.9%终端设备;SM2证书则完全符合《GM/T 0024-2024 SSL VPN技术规范》与等保2.0要求,已通过红莲花、360、奇安信等国产浏览器根信任,可独立部署或与RSA组成双证书架构。生产环境中建议采用双证书策略——主站用RSA保障兼容性,管理后台/内网系统启用SM2强化合规性。
专用场景证书扩展能力
除标准Web服务器证书外,华测还提供S/MIME邮件证书(支持Outlook与Thunderbird)、代码签名证书(含EV代码签名)、PDF文档签名证书及IP SSL证书(支持内网192.168.x.x等私有地址)。特别在政务云场景中,其CFCA交叉认证证书可无缝对接省级政务CA平台,避免多级信任链断裂风险。
工程部署关键约束
| 指标 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书有效期 | CA/B Forum BR v2.0:≤398天 | 华测当前签发周期为365天,但2026年Q3起将按新规调整为≤398天;建议使用acme.sh脚本自动化续期,避免人工遗漏 |
| 通配符支持 | RFC 6125:仅支持一级子域名 | 如需保护 api.example.com 与 shop.example.com,必须选用多域名证书而非通配符;*.example.com无法覆盖二级子域 |
| 证书链完整性 | CA/B Forum Ballot 193 | 华测默认提供完整链(Root → Intermediate → Domain),但Nginx部署时需手动合并.crt与.ca-bundle文件,否则Chrome可能提示NET::ERR_CERT_AUTHORITY_INVALID |
常见问题
Q:华测SSL证书能在阿里云WAF上直接上传吗?
A:可以。阿里云WAF支持PEM格式证书,需上传华测提供的domain.crt(公钥)、domain.key(私钥)及ca-bundle.crt(中间证书)三文件,不可省略中间证书。
Q:华测SM2证书是否支持Windows Server 2012 R2?
A:不支持。SM2需Windows Server 2016+或安装国密补丁包;若必须兼容旧系统,应采用RSA/SM2双证书方案,由前端负载均衡器做算法协商分发。
Q:购买华测OV证书后,能免费获得www和根域名两个域名保护吗?
A:是的。所有华测单域名OV证书均默认包含主域名(example.com)与带www子域名(www.example.com)双绑定,无需额外付费或申请SAN扩展。
京公网安备11010502031690号
网站经营企业工商营业执照
