华测ssl

华测SSL证书详解：国密合规、全球信任的国产CA选择

华测SSL证书由华测检测认证集团（CTI）旗下华测CA签发，是首批通过国家密码管理局《商用密码产品认证》及WebTrust国际审计的国产SSL证书品牌。其DV/OV/SM2全系列证书已预置在Chrome、Firefox、Edge、Safari主流浏览器根存储中，支持TLS 1.2/1.3与国密SM2算法双栈加密，适用于政务、金融、教育等对合规性要求严苛的生产环境。

技术背景：华测CA的PKI信任体系设计

华测CA采用三级信任链结构：根CA（CTI Root CA）→ 中间CA（CTI Domain Validation CA / CTI Organization Validation CA / CTI SM2 CA）→ 终端实体证书。所有中间CA证书均完成交叉签名，确保在未预置国密根的旧版系统（如Windows Server 2012 R2）中仍可回溯至GlobalSign等国际根证书，实现平滑兼容。该设计满足《GB/T 20518-2018》和CA/B Forum Baseline Requirements双重合规要求。

浏览器信任现状

截至2026年4月，华测DV/OV证书在Chrome 124+、Firefox 125+、Edge 123+中默认受信；SM2证书需配合国密浏览器（红莲花、360安全浏览器V13+）或启用国密插件使用。实测显示：在未安装国密插件的Chrome中访问SM2站点，会触发“NET::ERR_CERT_AUTHORITY_INVALID”错误，但RSA证书无此问题——这正是部署时需严格区分算法场景的关键工程经验。

证书类型与适用场景

• DV证书：适用于个人博客、测试环境，域名验证（DCV）仅需DNS或HTTP文件验证，签发时效<10分钟；
• OV证书：面向企业官网、电商平台，需提交营业执照+法人身份证，审核周期1–3工作日，支持证书透明度（CT）日志；
• 国密SM2证书：强制用于等保三级政务系统，必须搭配SM2私钥与SM3哈希，不兼容RSA混合部署——曾有客户将SM2证书误配于Nginx的RSA SSL模块，导致“SSL_ERROR_NO_CYPHER_OVERLAP”报错，耗时4小时定位。

SSL证书部署步骤：以Nginx为例

华测证书压缩包内含Apache/IIS/Nginx/Tomcat四套格式。Nginx部署需提取.crt（证书）、.key（私钥）、.ca-bundle（中间证书链）三个文件。关键操作：必须将.ca-bundle内容追加至.crt末尾，否则会出现“证书链不完整”警告；若使用通配符证书，需确认Nginx配置中server_name为*.example.com而非www.example.com，否则SNI协商失败。

常见部署限制

华测OV证书不支持自动续期API调用，需人工提交新CSR；SM2证书无法在Let’s Encrypt ACME协议下申请，必须通过华测CA控制台或TopSSL平台人工审核。我们曾协助某省级人社厅将原有Symantec证书迁移至华测SM2，因未同步更新Java TrustStore中的国密根证书，导致内部HR系统调用接口持续报“PKIX path building failed”，最终通过部署OpenSSL 3.0+并导入CTI SM2 Root CA解决。

实践建议：如何选择华测SSL证书

常见问题

Q：华测SSL证书能在宝塔面板安装吗？ A：可以。上传.crt/.key文件后，在SSL设置页勾选“强制HTTPS”，并手动粘贴.ca-bundle内容至证书框底部；若提示“PEM格式错误”，请用证书格式转换工具校验换行符是否为LF。

Q：华测SM2证书支持微信小程序吗？ A：不支持。微信基础库2.29.0+仅兼容RSA/ECC证书，SM2需等待微信官方升级国密支持。当前方案是部署RSA+SM2双证书，由前端JS判断UA后路由至对应HTTPS服务。

Q：购买三年华测OV证书，为何只显示一年有效期？ A：自2025年9月起，所有CA遵循CA/B Forum新规，单次签发最长13个月（397天）。三年订单实际分三次签发，每次到期前30天系统自动推送续期提醒。

相关知识链接

• 华测DV SSL证书