SHECA 国密域名型通配符证书凭借其对无限子域的极致覆盖能力,已成为大型信创改造项目中的合规标配。它不仅在技术层面深度适配 SM2/SM3 国产算法套件,更在工程层面极大地简化了多业务系统的管理复杂度。通过实现集约化的密码应用,该证书为政企用户构建了一个既符合密评标准、又具备弹性扩展能力的国产化安全防护底座。
获取国密全域合规方案
SHECA 国密域名型通配符 SSL 证书是由上海市数字证书认证中心(SHECA)提供的高级 DV 证书。它集成了国密算法支持和无限子域名保护功能,旨在为拥有大量子域名并需要满足中国国密合规性要求的机构提供一站式解决方案。
该证书采用 DV(域名验证),签发快速。其核心价值在于提供国际(RSA/ECC)和国密(SM2/SM3)的双证书机制,确保主域名下的所有二级子域名(如 *.example.com)都能在国密环境下安全通信。它极大简化了运维工作,满足了政务、金融及关键信息基础设施在实现密码应用改造时的高效率和严格合规性需求。
| 产品品牌 | |
| 验证方式 | 域名验证 DV |
| 最多购买年限 | 3 |
| 认证材料 | 域名验证 |
| 签发速度 | 3~5 分钟 |
| 保护域名数 | 保护1个主域名及其下一级所有子域名 |
| 重新签发 | 无限重新签发 |
| 证书加密强度 | |
| 证书算法支持 | RSA+ECC |
| 手机支持 | 支持99.3%移动设备 |
| 浏览器支持 | 99.9%浏览器识别率 |
| 安全保障 | 最高赔付保障¥500万 |
对于拥有复杂二级域名的政务云或金融交易平台,SHECA 提供了从 SM2 根证书到算法层面的全流程国产化支撑。
在部署 ssl证书 时,SHECA 通配符版的工程优势:
从实际情况来看,国密通配符证书多用于以下高并发、多业务的集成场景:
| 对比维度 | 国际通配符 (RSA/ECC) | SHECA 国密通配符 (SM2) |
|---|---|---|
算法安全性 | 全球认可,但面临量子算力威胁 | 高强度椭圆曲线,抗攻击性强 |
信创合规性 | 较低,通常无法通过密评 | 最高级别合规,符合行业标准 |
浏览器支持 | 所有主流浏览器(Chrome/Safari等) | 国产浏览器原生支持,双证下全兼容 |
核心应用建议 | 互联网公众业务、移动 App | 政务内/外网、金融、国企核心库 |
工程落地核心 | 技术建议与逻辑 |
|---|---|
通配符级别限制 | 从实际情况来看,*.domain.com 只能保护其下一级子域,无法跨级保护类似 a.b.domain.com 的域名。 |
根证书预置检查 | 必须确保国产中间件已完整导入 SHECA SM2 根证书,否则子域访问时会出现握手报警。 |
双算法分流策略 | 针对通配符证书,建议在 WAF 层通过 SNI 识别技术,实现 SM2 与 RSA 算法的智能按需卸载。 |
SHECA Wildcard SM2 FAQ
A:支持。申请 *.domain.com 的证书,从实际情况来看通常可以同时保护 domain.com(不带子域)及其所有一级子域名。
A:不一定。通配符证书常因层级错误导致不匹配(如三级子域使用了二级通配符),调整域名解析层级或重新映射即可解决。
A:不支持。由于 Chrome 等浏览器未内置 SM2 算法,直接访问会报 SSL 协议错误。更务实的建议是采用“国密+国际”双证书方案。
A:不会。通配符仅是保护范围的定义方式,其底层的 SM2/SM3 算法套件与单域名证书完全一致,安全性没有差别。
SHECA 国密域名型通配符证书凭借其对无限子域的极致覆盖能力,已成为大型信创改造项目中的合规标配。它不仅在技术层面深度适配 SM2/SM3 国产算法套件,更在工程层面极大地简化了多业务系统的管理复杂度。通过实现集约化的密码应用,该证书为政企用户构建了一个既符合密评标准、又具备弹性扩展能力的国产化安全防护底座。
获取国密全域合规方案
2004-2026 © 北京传诚信 版权所有 | TopSSL提供免费SSL证书与付费证书,快速实现HTTPS加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号 
网站经营企业工商营业执照 
