在线工具验证国密SM2证书完整操作指南

  前置重要说明

1.  通用SSL在线工具(SSL  Labs、Digicert)不支持国密**:仅识别RSA/ECC,无法解析SM2、SM3、TLCP国密协议,必须使用**国内专用国密在线工具。

2.  两类验证场景分开:

        本地证书文件校验(上传PEM/CRT证书文本,离线浏览器解析更安全)

        线上站点TLCP国密链路检测(输入域名,检测服务器双证书、国密握手、套件)

3.  隐私提醒:**优先选浏览器本地解析工具**(不上传证书到服务端);涉及生产私钥/业务证书避免上传第三方云端工具。

一、主流国密在线工具清单(分场景)

  场景1:本地证书文件解析(上传证书文本/文件,校验算法、有效期、DN、SAN、国密扩展)

  1.  SSLeye(功能最全商用国密工具)

地址:https://www.ssleye.com/ssltool/

国密专区核心功能:

  国密证书查看:粘贴PEM证书/上传crt文件,完整解析SM2公钥、sm2-with-sm3签名、国密OID扩展`1.2.156.10197.1.301`、KeyUsage、SAN域名、有效期

  国密私钥配对校验:同时上传证书+SM2私钥,校验公私钥是否匹配

  CSR/证书一致性校验:上传CSR+证书,核对DN、SAN是否一致

  证书链解析/修复:自动补全国密中间CA、根证书链

  2.  GMSSL官方TLCP检测站(test.gmssl.cn  /  tlcp.gmssl.cn)

地址:https://tlcp.gmssl.cn

适合:测试TLCP国密协议、解析上传的SM2证书,校验签名合法性、证书链完整性。

  3.  本地浏览器ASN.1解析(不上传服务器,最安全)

地址:https://onlinewebdevtools.com/asn1-viewer

优势:全部运算在浏览器本地,证书不会流出,适合涉密、密评证书校验;支持PEM/Base64/DER格式,可完整解析X.509国密证书所有ASN.1字段。

  4.  GDCA国密证书检测(CA官方工具)

地址:https://seehttps.com/ssl/check_gmcert

适合GDCA/CFCA等国密CA签发证书,自动校验CA资质、OCSP吊销状态、SM2算法合规。

  场景2:线上网站TLCP国密链路检测(输入域名,检测服务端国密部署有效性)

1.  SSLeye  GMSSL协议检测:输入域名,检测是否支持TLCP、国密加密套件、是否部署签名+加密双证书、证书链完整度

2.  tlcp.gmssl.cn:一键测试网站国密握手,区分TLCP/标准TLS,输出国密套件、证书信息、握手结果

二、操作步骤1:上传本地证书文件校验(最常用,验证证书本身有效性)

以SSLeye「国密证书查看」为例,通用流程:

  步骤1:准备证书

1.  导出证书PEM文本(`.crt/.pem`),仅复制`-----BEGIN  CERTIFICATE-----`至`-----END  CERTIFICATE-----`完整内容;

2.  双证书需分别上传**签名证书、加密证书**两次校验。

  步骤2:进入工具并粘贴/上传证书

1.  打开ssleye国密工具页  →  选择【国密证书查看】;

2.  两种输入方式:粘贴证书文本框  /  上传crt/pem文件;

3.  点击「解析证书」生成完整报告。

  步骤3:逐项核对有效性核心校验项(国密特有,缺一不可)

  1)算法合规校验(密评强制)

  公钥算法:`sm2p256v1`

  签名算法:`sm2-with-sm3`

  存在国密专用扩展OID:`1.2.156.10197.1.301`

  出现RSA/SHA256则不是合规国密证书。

  2)有效期校验

查看`Not  Before`/`Not  After`,当前时间落在区间内;工具会标红过期/即将过期证书。

  3)DN字段合规校验

C=CN、省份/城市拼音、无中文、无非法特殊符号,与CSR申请信息一致。

  4)SAN主题备用名称

网站证书必须存在`subjectAltName`,所有业务域名、内网IP完整列出,无缺失。

  5)KeyUsage密钥用途(双证书区分)

-  签名证书:`Digital  Signature,  Non  Repudiation`

-  加密证书:`Key  Encipherment,  Key  Agreement,  Data  Encipherment`

用途混用判定证书配置无效,业务加密/签名报错。

  6)证书链校验

查看颁发者Issuer,逐级展开完整证书链:终端证书→二级国密CA→国密根CA,**整条链全部SM2算法**,无RSA根证书签发SM2证书。

  7)签名合法性校验

工具内置验签逻辑,输出「证书签名合法」代表证书未被篡改;提示签名失败=证书篡改/根证书不匹配。

  步骤4:扩展校验(可选)

1.  公私钥匹配校验:切换「国密私钥校验」,同时粘贴证书+SM2私钥,匹配成功才可以部署使用;

2.  CSR一致性校验:上传原CSR,对比DN、SAN是否和证书完全一致;

3.  格式转换校验:支持PEM/PFX互转,验证证书文件格式无损坏。

三、操作步骤2:域名站点TLCP国密链路有效性验证

用于验证服务器是否正确部署国密双证书、能正常协商TLCP国密连接:

1.  打开tlcp.gmssl.cn或SSLeye【GMSSL协议检测】;

2.  输入域名(不带https,如api.xxx.com),端口默认443;

3.  点击检测,等待握手测试完成;

4.  结果判定标准:

      1.  协议输出`GMSSL/TLCP`,而非标准TLS1.2/1.3;

      2.  加密套件包含`ECC-SM2-WITH-SM4-SM3`等国密套件;

      3.  同时返回两套证书:签名证书+加密证书(双证书部署合规);

      4.  证书信任校验返回`OK`,无证书链缺失告警;

5.  异常判定:仅返回RSA套件  →  服务器未配置国密证书/未开启TLCP。

四、浏览器本地离线解析工具(涉密/生产证书推荐,无数据上传)

工具:ASN.1  Viewer  https://onlinewebdevtools.com/asn1-viewer

  操作流程

1.  复制完整证书PEM文本粘贴到输入框;

2.  点击Decode,本地浏览器解析,数据不会上传外网;

3.  手动检索关键字核对:

        `sm2p256v1`、`sm2-with-sm3`、`1.2.156.10197.1.301`

        `keyUsage`、`subjectAltName`、有效期时间戳

  优势:满足密评对证书隐私管控要求,不泄露企业证书到第三方平台。

五、CA官方在线吊销状态校验(等保/密评强制项)

证书合法必须校验是否被CA吊销,GDCA/CFCA自有在线OCSP工具:

1.  GDCA国密吊销查询:https://seehttps.com/ssl/check_gmcert

2.  操作:上传证书,工具自动请求CA  OCSP接口;

3.  结果:`good`=证书正常;`revoked`=证书失效禁止使用;`unknown`=OCSP服务异常。

六、在线工具校验常见失败原因

1.  无SM2算法标识:证书为RSA/ECC,不是国密证书;

2.  缺少国密OID扩展`1.2.156.10197.1.301`:不符合GM/T  0015规范,密评扣分;

3.  KeyUsage用途混淆:签名证书用作加密,业务网关握手失败;

4.  证书链混杂RSA根证书:整条链必须全部SM2;

5.  SAN缺失业务域名:国密浏览器访问域名告警;

6.  OCSP状态revoked:证书已注销,完全失效;

7.  公私钥不匹配:部署时上传错误私钥,TLS无法解密;

8.  站点检测无TLCP协议:Nginx/Apache未加载GMSSL模块、未配置双证书。

七、在线工具vs本地gmssl命令行  优缺点对比

维度|在线国密工具      本地gmssl命令行

上手难度|可视化页面,无需命令|需要掌握GMSSL指令|

隐私安全    云端工具上传证书;本地解析工具安全|证书全程本地,最高安全

校验覆盖  算法、有效期、SAN、证书链、TLCP握手  支持签名验签、CRL、UserID校验、批量脚本

合规密评|基础校验可用,吊销校验依赖CA接口    完整覆盖密评全部校验项,推荐终审

适用场景  快速预检、测试环境、无服务器时临时校验    生产环境终审、密评验收、自动化巡检

八、最佳实践流程

1.  预检:浏览器本地ASN.1工具离线解析证书基础信息;

2.  深度校验:SSLeye上传证书,核对算法、扩展、KeyUsage、公私钥配对;

3.  吊销校验:CA官方OCSP工具查询证书状态;

4.  服务端链路验证:tlcp.gmssl.cn检测域名TLCP握手与双证书部署;

5.  正式验收(密评/上线):本地GmSSL命令行完整校验作为最终依据。