政企网站为什么必须部署国密SSL证书?
政企网站必须部署国密SSL证书——这不是可选项,而是等保三级、密码法合规与国产化替代的硬性要求。自《中华人民共和国密码法》实施以来,政务系统、金融平台、央企及关键信息基础设施单位在HTTPS加密中必须采用SM2/SM3/SM4算法,仅使用RSA证书已无法通过监管审计。实际运维中,未部署国密证书的政务云平台在等保测评时直接被判定为“密码应用不合规”项扣分。
国密SSL证书的技术必要性
浏览器信任体系重构
主流国际CA(如DigiCert、Sectigo)根证书未预置于红莲花、360国密版、密信、零信等国产安全浏览器中。若政企站点仅部署RSA证书,在红莲花浏览器中将显示“证书不受信任”,地址栏无绿色锁标识,甚至触发全站拦截。而沃通、华测、CFCA等国产CA的SM2根证书已深度入根红莲花、360国密浏览器,部署后自动获得信任链验证,实现“开箱即用”的国密HTTPS通信。
双证书兼容架构是生产刚需
政企环境存在“内网国密+外网通用”双重访问场景:内部办公人员使用红莲花浏览器访问SM2加密;外部公众仍用Chrome/Firefox访问RSA加密。此时单靠一张SM2证书无法覆盖全终端。工程实践中,我们推荐采用沃通首创的SM2/RSA双证书部署方案——在Nginx或国密SSL网关上同时配置两套证书,由客户端TLS握手协商自动选择算法,无需改造业务系统,兼容性经金融级压力测试验证(QPS ≥ 12,000)。
政企选型核心指标
| 评估维度 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 根证书预置范围 | 是否入根红莲花、360国密版、密信、零信、赢达信五大浏览器 | 优先选择沃通、华测、CFCA——三者均已100%完成五大国密浏览器入根认证,且提供官方兼容性报告下载 |
| 证书类型支持 | 是否支持EV/OV/V4级国密证书(含单位名称展示) | 政务门户必须选用V4级OV或EV国密证书,满足《GB/T 35273-2020》对身份强认证的要求 |
| 部署灵活性 | 是否支持SM2/RSA双证书、PFX/JKS/PEM多格式、中间件直连 | 锐安信sslTrus与华测均提供Apache/Nginx/Tomcat/东方通TongWEB/WAS全栈安装包,免手工转换 |
真实政企部署经验
某省级政务云平台曾因仅部署Let’s Encrypt免费RSA证书,在等保复测中被指出“未使用商用密码算法”,整改周期长达23天。后续切换为华测国密OV证书+SM2/RSA双证书架构,3个工作日内完成全站HTTPS升级,并通过等保三级“密码应用安全性评估”。关键点在于:国密证书不是简单替换,需同步更新WAF策略、CDN回源配置、以及所有API网关的TLS版本(强制启用TLS 1.2+国密套件),否则会出现ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误。
常见问题
Q:国密SSL证书能在Chrome里打开吗?
A:可以。沃通、华测等厂商的国密证书均采用SM2/RSA双证书模式,Chrome自动协商RSA加密,红莲花浏览器则协商SM2加密,无需用户干预。
Q:已有RSA证书,能直接升级为国密证书吗?
A:不能。国密证书需重新申请CSR(使用SM2密钥对生成),并完成域名所有权验证+单位资质审核(OV/EV类)。建议在过渡期内并行部署双证书。
Q:国密证书有效期多久?
A:根据CA/B Forum与国密局联合规范,SM2证书最长有效期为3年(2026年起逐步过渡至1年),目前沃通、华测主流产品仍提供3年期选项。
京公网安备11010502031690号
网站经营企业工商营业执照
