在线工具验证国密SM2证书完整操作指南
前置重要说明
1. 通用SSL在线工具(SSL Labs、Digicert)不支持国密**:仅识别RSA/ECC,无法解析SM2、SM3、TLCP国密协议,必须使用**国内专用国密在线工具。
2. 两类验证场景分开:
本地证书文件校验(上传PEM/CRT证书文本,离线浏览器解析更安全)
线上站点TLCP国密链路检测(输入域名,检测服务器双证书、国密握手、套件)
3. 隐私提醒:**优先选浏览器本地解析工具**(不上传证书到服务端);涉及生产私钥/业务证书避免上传第三方云端工具。
一、主流国密在线工具清单(分场景)
场景1:本地证书文件解析(上传证书文本/文件,校验算法、有效期、DN、SAN、国密扩展)
1. SSLeye(功能最全商用国密工具)
地址:https://www.ssleye.com/ssltool/
国密专区核心功能:
国密证书查看:粘贴PEM证书/上传crt文件,完整解析SM2公钥、sm2-with-sm3签名、国密OID扩展`1.2.156.10197.1.301`、KeyUsage、SAN域名、有效期
国密私钥配对校验:同时上传证书+SM2私钥,校验公私钥是否匹配
CSR/证书一致性校验:上传CSR+证书,核对DN、SAN是否一致
证书链解析/修复:自动补全国密中间CA、根证书链
2. GMSSL官方TLCP检测站(test.gmssl.cn / tlcp.gmssl.cn)
地址:https://tlcp.gmssl.cn
适合:测试TLCP国密协议、解析上传的SM2证书,校验签名合法性、证书链完整性。
3. 本地浏览器ASN.1解析(不上传服务器,最安全)
地址:https://onlinewebdevtools.com/asn1-viewer
优势:全部运算在浏览器本地,证书不会流出,适合涉密、密评证书校验;支持PEM/Base64/DER格式,可完整解析X.509国密证书所有ASN.1字段。
4. GDCA国密证书检测(CA官方工具)
地址:https://seehttps.com/ssl/check_gmcert
适合GDCA/CFCA等国密CA签发证书,自动校验CA资质、OCSP吊销状态、SM2算法合规。
场景2:线上网站TLCP国密链路检测(输入域名,检测服务端国密部署有效性)
1. SSLeye GMSSL协议检测:输入域名,检测是否支持TLCP、国密加密套件、是否部署签名+加密双证书、证书链完整度
2. tlcp.gmssl.cn:一键测试网站国密握手,区分TLCP/标准TLS,输出国密套件、证书信息、握手结果
二、操作步骤1:上传本地证书文件校验(最常用,验证证书本身有效性)
以SSLeye「国密证书查看」为例,通用流程:
步骤1:准备证书
1. 导出证书PEM文本(`.crt/.pem`),仅复制`-----BEGIN CERTIFICATE-----`至`-----END CERTIFICATE-----`完整内容;
2. 双证书需分别上传**签名证书、加密证书**两次校验。
步骤2:进入工具并粘贴/上传证书
1. 打开ssleye国密工具页 → 选择【国密证书查看】;
2. 两种输入方式:粘贴证书文本框 / 上传crt/pem文件;
3. 点击「解析证书」生成完整报告。
步骤3:逐项核对有效性核心校验项(国密特有,缺一不可)
1)算法合规校验(密评强制)
公钥算法:`sm2p256v1`
签名算法:`sm2-with-sm3`
存在国密专用扩展OID:`1.2.156.10197.1.301`
出现RSA/SHA256则不是合规国密证书。
2)有效期校验
查看`Not Before`/`Not After`,当前时间落在区间内;工具会标红过期/即将过期证书。
3)DN字段合规校验
C=CN、省份/城市拼音、无中文、无非法特殊符号,与CSR申请信息一致。
4)SAN主题备用名称
网站证书必须存在`subjectAltName`,所有业务域名、内网IP完整列出,无缺失。
5)KeyUsage密钥用途(双证书区分)
- 签名证书:`Digital Signature, Non Repudiation`
- 加密证书:`Key Encipherment, Key Agreement, Data Encipherment`
用途混用判定证书配置无效,业务加密/签名报错。
6)证书链校验
查看颁发者Issuer,逐级展开完整证书链:终端证书→二级国密CA→国密根CA,**整条链全部SM2算法**,无RSA根证书签发SM2证书。
7)签名合法性校验
工具内置验签逻辑,输出「证书签名合法」代表证书未被篡改;提示签名失败=证书篡改/根证书不匹配。
步骤4:扩展校验(可选)
1. 公私钥匹配校验:切换「国密私钥校验」,同时粘贴证书+SM2私钥,匹配成功才可以部署使用;
2. CSR一致性校验:上传原CSR,对比DN、SAN是否和证书完全一致;
3. 格式转换校验:支持PEM/PFX互转,验证证书文件格式无损坏。
三、操作步骤2:域名站点TLCP国密链路有效性验证
用于验证服务器是否正确部署国密双证书、能正常协商TLCP国密连接:
1. 打开tlcp.gmssl.cn或SSLeye【GMSSL协议检测】;
2. 输入域名(不带https,如api.xxx.com),端口默认443;
3. 点击检测,等待握手测试完成;
4. 结果判定标准:
1. 协议输出`GMSSL/TLCP`,而非标准TLS1.2/1.3;
2. 加密套件包含`ECC-SM2-WITH-SM4-SM3`等国密套件;
3. 同时返回两套证书:签名证书+加密证书(双证书部署合规);
4. 证书信任校验返回`OK`,无证书链缺失告警;
5. 异常判定:仅返回RSA套件 → 服务器未配置国密证书/未开启TLCP。
四、浏览器本地离线解析工具(涉密/生产证书推荐,无数据上传)
工具:ASN.1 Viewer https://onlinewebdevtools.com/asn1-viewer
操作流程
1. 复制完整证书PEM文本粘贴到输入框;
2. 点击Decode,本地浏览器解析,数据不会上传外网;
3. 手动检索关键字核对:
`sm2p256v1`、`sm2-with-sm3`、`1.2.156.10197.1.301`
`keyUsage`、`subjectAltName`、有效期时间戳
优势:满足密评对证书隐私管控要求,不泄露企业证书到第三方平台。
五、CA官方在线吊销状态校验(等保/密评强制项)
证书合法必须校验是否被CA吊销,GDCA/CFCA自有在线OCSP工具:
1. GDCA国密吊销查询:https://seehttps.com/ssl/check_gmcert
2. 操作:上传证书,工具自动请求CA OCSP接口;
3. 结果:`good`=证书正常;`revoked`=证书失效禁止使用;`unknown`=OCSP服务异常。
六、在线工具校验常见失败原因
1. 无SM2算法标识:证书为RSA/ECC,不是国密证书;
2. 缺少国密OID扩展`1.2.156.10197.1.301`:不符合GM/T 0015规范,密评扣分;
3. KeyUsage用途混淆:签名证书用作加密,业务网关握手失败;
4. 证书链混杂RSA根证书:整条链必须全部SM2;
5. SAN缺失业务域名:国密浏览器访问域名告警;
6. OCSP状态revoked:证书已注销,完全失效;
7. 公私钥不匹配:部署时上传错误私钥,TLS无法解密;
8. 站点检测无TLCP协议:Nginx/Apache未加载GMSSL模块、未配置双证书。
七、在线工具vs本地gmssl命令行 优缺点对比
维度|在线国密工具 本地gmssl命令行
上手难度|可视化页面,无需命令|需要掌握GMSSL指令|
隐私安全 云端工具上传证书;本地解析工具安全|证书全程本地,最高安全
校验覆盖 算法、有效期、SAN、证书链、TLCP握手 支持签名验签、CRL、UserID校验、批量脚本
合规密评|基础校验可用,吊销校验依赖CA接口 完整覆盖密评全部校验项,推荐终审
适用场景 快速预检、测试环境、无服务器时临时校验 生产环境终审、密评验收、自动化巡检
八、最佳实践流程
1. 预检:浏览器本地ASN.1工具离线解析证书基础信息;
2. 深度校验:SSLeye上传证书,核对算法、扩展、KeyUsage、公私钥配对;
3. 吊销校验:CA官方OCSP工具查询证书状态;
4. 服务端链路验证:tlcp.gmssl.cn检测域名TLCP握手与双证书部署;
5. 正式验收(密评/上线):本地GmSSL命令行完整校验作为最终依据。