用户要获取合规的国密SM2证书,核心是选择一家具备国家密码管理局认证资质的权威CA机构,并遵循标准的申请流程。以下是详细的操作步骤和注意事项。
第一步:选择合规的权威CA机构
根据国家密码管理局和工信部的许可名单,国内有多家CA机构可提供国密SSL证书服务。你可以根据自身业务特点选择:
中国金融认证中心(CFCA):金融行业首选。由中国人民银行牵头组建,是唯一支持国密SM2算法的金融行业CA。它独家支持SM2+RSA双证书自适应切换,其根证书已植入微软、谷歌、苹果等全球根库,非常适合对安全等级和合规性要求极高的银行、证券等金融机构。
数安时代(GDCA):国家级权威,政务及大型企业优选。国内唯一通过WebTrust认证的自主CA,也是国家密码管理局首批授权机构,在国密SSL市场占据领先份额。其根证书已预置在360浏览器、统信UOS等国产系统中,是众多国家电网、省级政务平台的选择。
上海CA(SHECA):政务系统集成专家。作为中央密码工作领导小组批准的试点单位,擅长政务系统集成,其服务已通过国际WebTrust认证。
沃通CA(WoTrus):市场化头部服务商。国内首家推出国密双证书方案的CA机构,提供自动化部署工具,已被多个省级政务平台采用。
其他备选机构:还包括天威诚信(vTrus) 、环安信(KeepTrust) 、北京CA、华测CA等,它们在不同行业和场景各有优势。
选择建议:
政府机构、金融机构:优先选择GDCA、CFCA等通过国家密码局授信的机构。
需要兼顾国内外访问:可选择GDCA、上海CA等同时提供国密和国际SSL证书的机构,或CFCA、沃通等支持双证书方案的CA。
追求性价比和便捷服务:可考虑环安信(KeepTrust) 等提供自动化解决方案的机构。
第二步:准备申请材料
根据证书类型(OV企业型或EV增强型),需要准备相应的材料。
材料类别 具体内容
企业/组织信息 营业执照副本(复印件加盖公章)<br>- 法人身份证(复印件)<br>- 经办人身份证(复印件)<br>- 《证书申请表及授权书》等CA机构指定表格(加盖公章)
域名信息 - 证明你拥有该域名的材料,如域名注册证书<br>- ICP备案号(如网站已备案)
其他(视情况) - 金融、政务等行业可能需补充行业许可证或等保备案证明 等
注意:
个人用户或测试环境可申请DV(域名型)证书,只需验证域名所有权,材料要求更简单。
所有材料通常通过CA机构的在线平台以电子化形式提交。
第三步:生成国密CSR文件
在申请前,你需要在服务器上使用支持国密算法的工具生成密钥对和证书签名请求(CSR)文件。
1. 使用国密工具:推荐使用 GmSSL(国密版OpenSSL)或CA机构提供的专用工具。
2. 生成SM2密钥对:生成一个256位的SM2私钥。
3. 生成CSR文件:基于私钥生成CSR文件。此文件中填写的组织信息必须与你营业执照上的信息完全一致。
第四步:提交申请与验证
1. 在线提交:登录所选CA机构的官网,注册账号,选择所需的国密证书类型(如单域名、多域名、泛域名)。
2. 上传CSR:将上一步生成的CSR文件内容粘贴到申请页面。
3. 填写信息:填写你的企业信息和域名信息。
4. 完成验证:
域名验证:CA机构会要求你通过DNS添加TXT记录、上传指定文件到网站根目录或邮箱验证等方式,证明你对域名的所有权。
组织验证:CA机构会对你的企业身份进行审核,OV证书通常需要1-3个工作日,EV证书可能需要更长时间。
第五步:获取与部署证书
签发证书:审核通过后,CA机构会正式签发证书。
下载证书包:你通常可以下载到一个包含服务器证书、中级CA证书、根CA证书的压缩包。
部署证书:将证书部署到你的Web服务器(如Nginx、Apache)上。
重要注意事项
证书有效期:国密SSL证书的有效期通常为1年,建议设置到期提醒并提前30天进行续费。
兼容性方案:考虑到部分国际通用浏览器(如Chrome、Firefox)可能不直接支持国密,强烈建议采用 “国密+RSA”双证书方案,让服务器根据客户端自动选择最优算法。
私钥安全:私钥是证书安全的核心,必须加密存储。如果怀疑私钥泄露,需立即联系CA机构进行吊销。