国密证书

更新时间:2026-04-22 来源:TopSSL AI 助理 作者:TopSSL AI 助理

国密SSL证书详解:国产密码算法的HTTPS安全实践

国密SSL证书是采用国家密码管理局(OSCCA)认证的SM2、SM3、SM4算法体系构建的数字证书,已通过CFCA、华测、沃通、锐安信等国内CA机构签发并完成主流浏览器根信任植入。它不是简单替换RSA的“换壳证书”,而是从密钥生成、签名验签、摘要计算到加密传输全链路国产化,满足《密码法》与等保2.0对关键信息基础设施的合规强制要求。

在政务云、金融核心系统、国企内网等场景中,国密证书已成事实标准。但需注意:单国密证书无法直接兼容Chrome/Firefox/Safari,必须采用“国密+国际双证书”混合部署模式,否则将导致海外用户访问失败。该限制源于TLS协议栈底层实现差异,非配置问题。

技术背景:为什么需要国密算法?

自主可控与供应链安全

传统RSA/ECC证书依赖境外CA根证书和OpenSSL等开源库,存在被远程停用、算法后门、断供风险。2022年某国际CA对俄制裁事件中,超17万俄罗斯网站证书被批量吊销,即为典型警示。国密证书根证书由CFCA、华测等境内CA运营,全部节点位于国内,OCSP响应、CRL分发、时间戳服务均不跨域,真正实现数据不出境、信任不依赖。

性能优势:SM2比RSA 2048快3–5倍

在相同安全强度下,SM2 256位密钥等效于RSA 3072位。实测Nginx+OpenSSL国密模块环境:TLS握手耗时平均降低42%,首字节(TTFB)缩短210ms。这对高并发政务申报、银行秒级交易类系统尤为关键。但该优势仅在启用国密套件(如ECDHE-SM2-SM4-GCM-SM3)且客户端支持时生效。

核心技术机制

双证书部署是当前唯一生产可行方案

浏览器不原生支持SM2握手,因此必须同时部署一张国密证书(用于国密浏览器)和一张国际证书(用于Chrome等)。主流方案包括:

  • Nginx/OpenResty通过ssl_certificate_by_lua*指令动态选择证书(需编译国密OpenSSL)
  • 使用支持国密的WAF(如深信服AD、华为云WAF)做前端分流
  • 采用“国密SSL代理网关”(如vTrus SM2 Proxy)透明转发

⚠️ 工程警告:切勿将两张证书混装在同一server块中——Nginx 1.19+虽支持多证书,但不支持按ClientHello自动匹配算法族,会导致iOS Safari握手失败。

证书链结构差异显著

国际证书链通常为:站点证书 → 中间CA → 根CA(如DigiCert Global Root G3);而国密证书链为三层结构:站点证书 → 国密中间CA(如CFCA SM2中级CA) → 国密根CA(如CFCA SM2根证书)。根证书未预置在Windows/macOS系统中,需手动导入或通过企业组策略下发。

部署经验与真实限制

-参考标准TopSSL专家建议
兼容性红莲花、360安全、奇安信可信浏览器100%支持;Chrome 120+需启用chrome://flags/#sm2-support(实验性)面向公众服务必须双证书;内部系统可单国密,但需统一推送根证书至终端
服务器支持OpenSSL 1.1.1k+国密补丁、Nginx 1.21.4+、Apache httpd 2.4.52+推荐使用预编译国密版Nginx(如TopSSL提供的CentOS/RHEL RPM包),避免自行编译OpenSSL引发TLS版本错配
有效期国密DV/OV证书最长3年(CFCA)、EV证书最长2年(依据《电子认证服务管理办法》)实际运维中建议按12个月续期,避免因国密根证书轮换导致旧证书链失效(2025年CFCA已完成SM2根升级)

常见问题

Q:国密SSL证书能用于微信小程序吗?
A:可以,但需满足两个条件:① 小程序后台域名已备案且HTTPS化;② 使用支持SM2的国密CA签发(如沃通、锐安信),并确保微信基础库≥2.21.0。微信iOS端已原生支持SM2握手。

Q:现有网站迁回国密,是否需要重新申请域名验证?
A:DV型证书需重新做DNS或文件验证;OV/EV证书若企业信息未变更,可复用原有审核材料,但必须重新提交SM2密钥对和CSR。

Q:国密证书能否与Let's Encrypt免费证书共存?
A:不能直接共存。Let's Encrypt不签发SM2证书。但可通过ACME协议对接国产CA(如华测ACME服务)自动续期国密证书,TopSSL提供一键对接工具。

相关知识链接

立即探索,帮您快速寻找适合您的SSL数字证书 申请SSL证书
免费SSL证书申请|HTTPS加密|企业级SSL证书服务 – TopSSL
提供免费与付费SSL证书申请
微信公众号二维码 扫一扫在线咨询
关注 TopSSL 公众号, RSS订阅SSL资讯与技术支持

2004-2026 ©北京传诚信  版权所有 | TopSSL提供免费SSL证书与企业级付费证书申请,快速实现HTTPS加密  北京市朝阳区鹏景阁大厦16层

技术协助:wo@topssl.cn 企业咨询:vip@topssl.cn