国密SSL申请

国密SSL申请

国密SSL申请不需要重新购买传统RSA证书，而是需向支持SM2算法的CA机构（如锐安信、XinSSL等）提交符合国密规范的CSR，并部署SM2公钥证书及配套国密SSL证书链。核心原因是国密SSL证书基于SM2/SM3/SM4密码套件，与RSA体系不兼容，必须使用专用签名算法和密钥生成流程。

国密SSL证书遵循《GM/T 0024-2014 SSL VPN技术规范》及《GB/T 38636-2020 信息安全技术 传输层密码协议（TLCP）》，要求服务器私钥为SM2椭圆曲线密钥，证书签名算法为SM3 with SM2，且必须配合国密TLS协议栈（如OpenSSL 1.1.1f+国密补丁或BabaSSL）运行。主流浏览器（Chrome/Firefox）原生不支持国密SSL，仅国产浏览器（如360安全浏览器、红莲花、奇安信可信浏览器）在启用国密模块后可完成握手验证。

实际申请流程中，用户需先生成SM2密钥对（不可复用RSA私钥），再通过国密CSR工具生成含SM2公钥和SM3摘要的证书签名请求；CA审核域名控制权（通常通过DNS解析记录或HTTP文件验证）后签发SM2证书。部署时须同时配置SM2证书、国密中间证书（如锐安信SM2中级CA）及根证书，并确保Web服务器（Nginx/Tengine/Apache）加载国密SSL模块。某政务云平台曾因直接将RSA私钥用于SM2 CSR生成，导致CA拒签；另一金融客户则因未同步更新证书链，造成国产浏览器提示“证书链不完整”错误。

需要注意的情况

• CSR必须使用SM2密钥生成，不能用RSA私钥导出或转换——SM2与RSA密钥数学结构完全不同，无互操作性
• 服务器软件需明确支持TLCP协议或国密HTTPS扩展，标准OpenSSL 1.1.1及以上版本需打国密补丁，或改用BabaSSL、Tongsuo等国密增强版
• 证书有效期受CA/B Forum中国分支《国密证书策略（CP）》约束，目前普遍为1年（365天），不支持2年期选项
• 免费国密SSL目前仅限测试用途（如XinSSL提供单域名SM2证书试用），生产环境建议选用通过国家密码管理局商用密码检测中心认证的CA，如锐安信锐安信