要为生产环境中的国密证书设置有效期,核心原则是在安全性、合规性与运维效率之间找到最佳平衡点。选择的出发点,首先取决于你的证书是用于公网还是内部私有网络。
公网证书 vs. 内网证书:两种环境,两种策略
这两种场景下的有效期设置策略,差异非常显著:
使用场景 推
公开网络 (公网) 严格遵循行业潮流,设置1年及以下的有效期(即不大于398天)。未来需向更短的90天甚至47天演进,并全面拥抱自动化管理。
私有网络 (内网) 为降低运维负担,可设置 年以上**的有效期。例如,根CA有效期可达3-30年,从属CA为1-20年,而终端实体证书可设为3-5年。
下面,我们来深入看看两种环境下的具体最佳实践。
公网国密证书:紧追行业规范,拥抱自动化
公开网络的国密证书,其有效期政策与国际标准对齐,近年来持续收紧:
当前标准 - 1年有效期 (≤398天):这是2026年新规全面实施前的普遍实践。
短期未来 - 199天有效期:自2026年起逐步推行。
长期目标 - 90天有效期:自动化管理的普及方向。
最终目标 - 47天有效期:从2029年6月1日起强制执行的最严标准。
面对不断缩短的有效期,必须构建自动化的管理体系来应对。否则,每年数次的证书更换对人工运维来说将是沉重负担。企业可以通过以下方式拥抱自动化:
建立自动化体系:部署ACME(自动化证书管理环境)协议是必备能力。例如,使用开源的SM2CerBot客户端,它能自动对接国密ACME公共服务,实现对国密及国际双算法证书的自动申请、部署和续期。
健全监控与告警:在手动或半自动的过渡期,务必建立有效的监控告警系统。大多数证书管理平台都支持在证书到期前30天或更早进行告警,及时发现并处理即将过期的证书。
内网国密证书:平衡安全与效率
内网环境相对封闭,有效期设置可以更灵活。但核心原则“最小必要”同样适用,即**在满足业务安全需求的前提下,设置尽量短的有效期**。
分级设置有效期:建立层次化的有效期管理体系是内网的最佳实践。
根CA (Root CA):生命周期最长,可达10年、20年甚至30年。作为信任锚根CA的私钥安全性极高,所以可以设置长期限。
从属CA (Subordinate CA):通常设为5-10年,具体取决于根CA的有效期。它不能超过上级CA的剩余有效期。
终端实体证书 (End-Entity Certificates):这是最灵活的一层,建议设置为1-3年。对于私有CA签发的内网证书,平台通常支持1至5年不等的有效期范围。部分业务场景甚至可以设置得更短。
此外,内网CA平台设置有效期的能力也更为宽松。例如,使用EJBCA等企业级CA系统,你可以通过“证书模板”来全局统一控制证书的有效期,实现合规与标准的落地。
合规性要求概览
在设置国密证书有效期时,也必须参考合规框架的通用要求:
商用密码产品认证:产品证书有效期通常为5年。认证证书则需在有效期届满前6个月内申请续证。
《密码法》等保要求:金融、政务等关键行业必须使用国密算法保障安全。
CA/B论坛标准:公网证书须遵守此全球通用规则,内网证书则不受限制。
总的来说,为生产环境中的国密证书设置有效期,关键在于区分场景:公网证书紧跟全球自动化、短周期的趋势,内网证书则在保障安全的前提下,设置相对较长的有效期以简化管理。
如果你的网络环境有特殊的安全策略,或者需要针对特定应用场景(如车联网、物联网)进行规划,可以再告诉我,我来帮你进一步细化方案。
