用户在部署国密证书前,进行一次周详的环境评估与准备,是保障部署顺利和后续系统稳定运行的关键。这份清单涵盖了从基础环境到证书本身的核心检查点,供你参考。
第一阶段:系统与软件兼容性评估
这是最关键的步骤,决定了你的服务器环境是否“认识”国密算法。
操作系统(OS)检查:确认服务器操作系统是否支持国密算法。主流的国产操作系统如统信UOS、麒麟OS已提供良好支持;Windows Server需2019及以上版本;Linux各发行版(如CentOS)则需要额外配置国密模块。
Web服务器/应用服务器检查:
核心问题:官方原版的Nginx、Apache等软件默认不支持国密SM2算法,需要进行改造。
解决方案:你需要使用集成了国密模块(如`gmssl_openssl`)的国密定制版Web服务器,或者重新编译原版并指定国密模块。
版本确认:确保你的Web服务器版本与所要使用的国密模块版本兼容。
国密算法库检查:国密功能的实现依赖特定的算法库,例如 Tongsuo JNI 原生库或 GMSSL项目。需确认你的服务器平台(如`linux-x86_64`)是否有对应的预编译库,否则服务可能无法启动。
依赖组件检查:编译或运行国密环境可能需要特定的开发包和工具,如`gcc`, `gcc-c++`, `make`, `pcre-devel`, `zlib-devel`等。全新系统尤其需要提前安装。
第二阶段:网络与端口连通性评估
确保证书安装后,服务能够被正常访问。
端口开放检查:
HTTPS默认端口:务必在服务器操作系统防火墙和云服务商的安全组策略中,提前开放“443”端口。
管理端口:确保SSH(22端口)等管理端口畅通,以便远程操作。
域名与DNS解析检查:
域名解析:确认你需要保护的域名已正确解析到当前服务器的公网IP。
多服务器场景:如果一个域名有多个服务器,需要在每一台服务器上都进行部署。
DNS解析正常:确保内部DNS解析工作正常(如适用)。
时间同步检查:服务器时间需要与标准时间同步,建议配置NTP时间同步协议,否则可能导致证书验证问题。
第三阶段:证书与密钥材料准备
确保证书文件本身是有效且完整的。
证书状态确认:在部署前,务必确认证书的状态为 “已签发” 。
证书信息核对:
绑定域名:核对证书绑定的域名是否与你需要保护的域名完全匹配。
证书类型:确认你下载的是国密标准(SM2)证书。
文件准备:从CA机构处下载完整的证书文件包,通常包含服务器证书、中级CA证书、根CA证书。同时,务必安全保管好你在生成CSR时创建的私钥。
第四阶段:工具、权限与人员准备
确保操作人员有正确的工具和权限来执行部署。
远程操作工具:准备好远程登录工具(如PuTTY、Xshell)和文件拷贝工具(如WinSCP)。
服务器权限:你需要拥有目标服务器的管理员权限(root或具有sudo权限的账号)。
人员与文档准备:
确保技术团队了解CSR生成方法和国密证书的安装配置流程。
准备好企业的营业执照、组织机构代码证、经办人身份证等组织资质材料,以便在证书申请环节使用。
第五阶段:兼容性与部署策略规划
规划好部署策略,以应对复杂的用户环境。
客户端兼容性评估:
国密浏览器:确认你的目标用户是否会使用支持国密算法的浏览器,如红莲花浏览器、360安全浏览器(国密版)、密信浏览器。
通用浏览器:评估仅部署国密证书对使用Chrome、Firefox等国际主流浏览器用户的影响。
部署方案决策:
单证书方案:仅部署国密证书。此方案仅支持国密浏览器访问。
双证书方案:同时部署国密SSL证书和国际标准(如RSA)SSL证书。这是目前主流的推荐方案,服务器会根据客户端是否支持国密算法,自动选择相应的证书进行握手,以兼顾合规性和通用性。
完成以上所有维度的评估与准备后,就可以进入实际的证书安装和配置阶段了。