用户在信创环境下部署国密证书,关键在于实现从密码库、协议栈、证书到服务策略的全链路国产化适配。这并非简单地添加一张证书,而是一个涉及硬件、操作系统、中间件到应用软件的系统性工程。
以下是部署过程中需要重点关注的软硬件适配要点:
一、硬件层面适配要点
硬件是国密生态的根基,需确保底层组件对国密算法(SM2/SM3/SM4)的原生支持。
CPU与服务器:优先选择*鲲鹏、飞腾、龙芯、海光、兆芯、申威等通过国家认证的国产CPU。服务器则需关注如华为TaiShan等国产服务器,确保其与国密算法库(如`Tongsuo`)深度适配。部分CPU如海光已集成SM4内存加密技术,可将性能损耗控制在1%以内。
密码硬件产品:对于智能密码钥匙(USB Key)、密码机等专用设备,必须确认其获得国家密码管理局的商用密码产品认证证书,并已明确适配国产操作系统和CPU平台。
二、软件层面适配要点
软件生态的适配是确保证书能被正确识别和使用的关键。
操作系统:必须使用银河麒麟、统信UOS、中科方德等通过安全可靠测评的国产操作系统。
国密算法库(核心基础):官方OpenSSL不支持国密,必须替换。推荐的国密算法库有:
Tongsuo(铜锁):已列入信创生态产品名录,与主流信创平台深度适配,是当前推荐的选择。
GmSSL:另一个成熟的备选方案。
可通过命令 `openssl version` 验证是否已正确替换为国密库。
Web服务器与中间件:需使用支持国密算法的版本。
Web服务器:需要使用国密版Nginx/Tengine,或通过源码编译的方式将Nginx与国密算法库(如`Tongsuo`)进行绑定。
中间件:如东方通、TongWeb等,需确认其国密增强版对SM2证书的支持。
浏览器端:
原生支持:360安全浏览器(国密版)、奇安信可信浏览器、红莲花安全浏览器等内置国密根证书,可自动识别国密证书。
双证书方案:为解决国际浏览器(如Chrome)的兼容性问题,可采用 “国密+RSA双证书” 方案。服务端根据客户端类型自动选择返回SM2或RSA证书,兼顾国密合规与全球通用。
应用与数据库:
Java应用:需使用国密兼容的JDK或集成BouncyCastle等国密加密库。
国产数据库:如达梦、金仓、OceanBase等,需确认其对国密算法的支持,例如用于身份认证或数据传输加密。
三、部署配置关键点
正确的部署配置是确保国密证书生效的最后一步。
证书类型:国密HTTPS采用“签名证书+加密证书”的双证书模式。采购时务必确认两者齐全。
部署实践:在Nginx中配置时,需分别配置签名证书(`sign.crt/key`)和加密证书(`encrypt.crt/key`)。同时,需在配置中强制指定国密协议(如`GMv1`)和加密套件(如`ECDHE-SM2-WITH-SM4-SM3`)。
证书信任:需将国密CA的根证书导入到操作系统和浏览器的根证书信任库中。选择权威CA(如CFCA、天威诚信等)签发的证书,其根证书通常已预置在国产系统中,可免去手动导入的步骤。
四、测试与验证
部署完成后,需进行全面测试:
合规性测试:进行商用密码应用安全性评估(密评),验证密码应用的合规性、正确性和有效性。
兼容性测试:在不同国产CPU+OS组合(如鲲鹏+麒麟、飞腾+统信)上进行全面功能和性能测试。
浏览器测试:使用奇安信、360等国密浏览器验证国密通道是否正常建立;同时使用Chrome等国际浏览器测试双证书方案的回退机制是否生效。
等保测评:完成网络安全等级保护测评,确保系统整体安全性。
总的来说,信创环境下的国密证书部署是一项系统工程,其核心是构建一个从硬件、操作系统、密码库、Web服务器到浏览器的完整国产化信任链。务必优先选择已通过信创兼容性互认证的产品组合,能有效降低适配风险,确保项目顺利落地。