用户要获取国密(SM2)根证书,可以优先在相应CA机构的官网查找。它们通常会在“技术支持”或“下载中心”等栏目提供证书文件。
我为用户整理了国内主要CA机构的国密根证书获取来源,包括官方渠道和第三方可信平台,你可以参考一下:
一、主要CA机构国密根证书获取方式
机构 证书名称/示例 获取方式/官方链接 说明
GDCA (数安时代) ROOTCA_sm2<br>GDCA TrustAUTH E1 CA 官方CA证书下载平台:[点此访问](https://update.gdca.com.cn/certdownload/caCertDownloadAction.do) | 该页面列出了GDCA多种根证书和中间证书,可直接点击下载`.cer`文件。
CFCA (中金金融) CFCA CS SM2 CA | 方式一: 官方证书链下载页:[点此访问](https://cert.cfca.com.cn/globalssl-new/)<br>方式二: 证书链ZIP压缩包:[点此下载](https://www.cfca.com.cn/file/Certs.zip) 方式一提供在线申请入口;方式二是一个包含多个证书文件的压缩包。
BJCA (北京CA) BJCA_Global_Root_CA4 方式一: 奇安信平台:[BJCA 根证书](https://www.qianxin.com/ctp/certificatelist.html)<br>方式二: BJCA官网帮助中心:[help.bjca.cn](http://help.bjca.cn) 方式一由第三方平台提供,可直接查看;方式二需在官网帮助中心查找“根证书”相关页面。
SHECA (上海CA) SHECA SM2<br>UCA Root SM2 吗 方式一:奇安信平台:[SHECA 根证书](https://www.qianxin.com/ctp/certificatelist.html)<br>方式二: 特定根证书链接:[点此下载](http://certs.sheca.com/r/globalg2.cer) 方式一由第三方平台提供;方式二为直接下载链接,是UCA Global G2 Root根证书。
WoTrus (沃通) 国密SM2根证书 方式一: 沃通官网下载页:[点此访问](https://www.wotrus.com/root/sm2root.htm)<br>方式二: 沃通主站:[点此访问](https://www.wosign.com/) → "技术支持" → "下载WoTrus中级根证书" | 方式一为专门页面,列出了多个根证书并可直接下载`.crt`文件。 |
其他CA机构 - 奇安信商用密码证书可信计划页面:[点此访问](https://www.qianxin.com/ctp/certificatelist.html) | 该页面包含**北京CA、上海CA、深圳CA、贵州CA、陕西CA、天威诚信、亚数信息**等多家CA的国密根证书列表,是一个比较全面的资源库。 |
小提示
下载的证书文件通常为 .crt 或 .pem 格式。
以上方式主要面向终端用户手动下载。如果你是开发者,需要在系统或应用中集成证书,可以参考各CA机构提供的开发者文档。
二、国密根证书使用指南
手动下载证书后,通常需要将其导入到浏览器或操作系统中才能生效。
导入证书:
在浏览器中(以360浏览器为例):进入“设置” → “安全设置” → “证书管理” → “受信任的根证书” → “导入证书”,选择下载的文件即可。
在操作系统中(以Windows为例):双击`.cer`证书文件 → 点击“安装证书” → 选择“将所有的证书放入下列存储” → 点击“浏览” → 选择“受信任的根证书颁发机构” → 按向导完成即可。
推荐使用自动更新的方法:
最理想的方法是使用已内置国密根证书的国产浏览器和操作系统,它们能通过系统或浏览器更新自动同步最新的根证书库,无需手动干预。
国产浏览器:如360安全浏览器、奇安信可信浏览器、红莲花浏览器等已预置国密根证书。
国产操作系统:如银河麒麟、统信UOS等也会通过系统更新推送国密根证书库。
三、注意事项
确保证书链完整:SSL证书的信任依赖完整的证书链,通常包括“根证书 → 中级证书 → 服务器证书”三个环节。如果只导入根证书而不导入对应的中级证书,浏览器仍可能提示网站不可信。
注意证书类型:国密算法SSL证书通常会提供签名证书和加密证书两份文件,确保正确部署。
注意有效期:所有根证书都有明确的有效期,如“2019年4月4日至2044年4月4日”。过期后需要及时更新。
从官方渠道获取:务必从CA机构官网或可信平台(如奇安信页面)下载证书文件,避免使用不明来源的证书,以确保安全。
区分算法:下载时请认准“SM2”国密算法证书,不要误下载RSA等其他算法的根证书。
