如何解决海外系统无国密根证书的问题

海外系统无国密根证书完整解决方案

海外终端不信任国密证书的根源：Windows/macOS/iOS/Chrome/Firefox等全球主流生态未预装国内国密CA根证书，信任链断裂，直接报“证书不受信任”。解决方案分短期业务落地（企业立刻可用）、客户端适配（海外私有系统/APP）、中长期生态根治（行业标准层面）  三层，兼顾跨境业务可用性与国内密评合规。

一、短期最优落地：双证书自适应部署（面向公网官网、跨境电商、对外服务平台）

  核心原理

服务器/Nginx/国密SSL网关同时部署两套独立证书体系：

1.  SM2国密证书：国内CFCA、天威诚信、GDCA等商用密码CA签发，满足《密码法》、密评、等保合规；

2.  RSA/ECC国际可信证书：国际权威CA（DigiCert、Sectigo）或通过WebTrust审计的国内CA国际根证书签发，根证书预装全球所有操作系统与浏览器信任库。

握手时自动智能协商：

  国产浏览器、信创终端（支持TLCP+SM算法）→  走国密证书链路；

  Chrome/Safari/Firefox、海外手机、海外API客户端  →  自动回退标准TLS  1.3+国际证书，用户零操作、无警告、完全透明。

  两种落地方式

1.  前置国密SSL网关（推荐，改造最小）

        部署铜锁Tongsuo、零信国密网关，统一承载双证书，原有业务服务无需修改代码，适配CDN、WAF、负载均衡，运维简单。

2.  Web服务原生改造

        Nginx/Apache编译Tongsuo/GmSSL国密模块，同一443端口加载双证书，配置两套加密套件，国密套件优先级调高，保障国内访问默认走国密，满足密评检测要求。

  优势

完全规避海外根证书缺失问题，不用海外用户手动安装证书，覆盖全球所有终端，是目前跨境业务标准化方案；金融、外贸、央企涉外门户普遍采用。

二、隔离式分流方案（高安全涉密、政务、核心金融跨境系统）

对内、对外业务域名物理拆分，两套独立信任体系，安全边界隔离：

1.  国内内网域名：仅部署纯国密SM2证书，仅限国产终端、内网访问，严格落实国密合规；

2.  海外独立二级域名：仅部署国际RSA证书，面向全球客户、海外分支机构开放，彻底避开国密根信任问题。

适用场景：关键信息基础设施、涉密政务、银行核心清算系统，不允许外网直接访问国密证书站点。

三、客户端侧适配方案（海外企业内网、自研APP、跨境API对接）

针对海外自有系统、海外定制客户端、企业专线对接场景，在客户端内置信任，解决根缺失问题：

  1.  海外APP/SDK内置国密根证书包

移动端、后端API服务SDK中打包国密CA根证书，代码层面主动信任，绕过系统默认根证书库：

  海外Android/iOS客户端：初始化网络请求时加载内置国密根链；

  Python/Java/Go后端对接程序：请求HTTPS接口时指定自定义信任根文件；

限制：仅适用于**自研可控客户端**，无法解决普通海外浏览器访问官网。

  2.  海外企业域环境批量下发根证书（B端合作客户）

海外合作企业Windows域、办公终端，通过AD组策略、MDM设备管理批量推送国密根证书，自动加入系统信任库，员工访问国密站点不再弹窗告警。

局限：仅企业内网可用，无法面向普通海外C端用户。

  3.  专用国密浏览器（海外政企合作场景）

推荐零信浏览器等全球发行多语言国密浏览器，内置全部主流国密CA根证书，海外合作方下载专用浏览器访问纯国密站点；仅适合B端定向业务，不适合大众流量网站。

  4.  临时手动导入（仅测试、小范围内部调试，禁止公网生产）

指导海外用户手动下载国密根证书，导入浏览器“受信任根证书颁发机构”列表；

缺点：操作繁琐、普通用户抵触、系统重装后失效、大规模海外业务完全不可行。

四、中长期生态根治方案（从根源消除国密根证书信任壁垒）

  1.  国内CA完成国际WebTrust审计，打通全球信任链

国内头部CA（CFCA、天威诚信）已通过WebTrust国际审计，搭建双根独立PKI体系：

  国密根：用于国内SM2证书，满足商用密码资质；

  国际RSA根：独立密钥、独立HSM存储，根证书提交Google/Mozilla/Apple/Microsoft信任库预装，实现一套CA同时服务国内合规、全球可信两套场景。

  2.  推动国密根证书纳入全球主流系统信任库

1.  国内CA向CA/Browser论坛提交国密根证书预审，推动Windows、macOS、Android、iOS原生预置国密根；

2.  联合IETF完善RFC8998国密TLS标准，同步推动Chrome、Firefox上游开源代码内置SM算法与国密信任校验逻辑。

  3.  建立中外CA交叉认证信任体系

推动国内商用密码CA与国际头部CA建立**双向交叉证书**：国际CA为我国密根签发交叉信任证书，海外系统可通过国际根链间接信任国密证书，无需预装原生国密根。

  4.  培育全球通用国密开源生态

完善Tongsuo等自主国密开源库，向OpenSSL、RustCrypto上游社区提交国密补丁，让海外开发框架原生支持SM算法与国密证书校验，从开发底层消除兼容障碍。

五、方案选型对照表

业务场景      推荐方案      适用范围      核心优缺点  

外贸官网、跨境电商、全球公开服务      双证书自适应部署      C端+海外B端全覆盖      零用户操作，兼顾合规与全球访问；需同时维护两套证书生命周期  

涉密政务、银行核心业务、工控内网      内外域名隔离部署      高安全要求业务      安全边界清晰；需维护两套站点、两套运维体系  

自研海外APP、跨境API对接、海外合作企业系统      客户端内置国密根证书      可控客户端场景      纯国密链路、安全强度高；无法适配普通浏览器  

  海外政企定点合作、专网业务      推送专用国密浏览器/域批量导入根证书      定向B端客户      纯国密无兼容妥协；不面向大众用户  

长期产业底层解决      WebTrust审计+国际根预装+标准推进      全行业长远布局      一次性打通全球信任；周期长、落地见效慢  

六、落地关键注意事项

1.  双证书部署必须补齐完整中间证书链，避免老旧海外终端证书链校验失败；

2.  证书生命周期分开管理：国密证书遵循商用密码47天自动续期规范，国际证书按国际1年/90天规则运维，防止单边过期；

3.  国内密评验收时，留存双证书配置、握手协商日志，证明国内终端可正常使用国密算法，满足合规核查；

4.  禁止仅靠“用户手动导入根证书”承载公网海外业务，会大幅流失海外客户、损害品牌信任。