国密(SM2)数字证书的命名规范遵循X.509标准,并无独立的“国密标准”。但其在实际使用中的填写要求(如域名验证、组织信息)与国际基线要求(CA/B Baseline Requirements) 基本兼容,以确保国密浏览器的正常识别。
部署国密双证书时,严格遵循“先配置签名证书,再配置加密证书”这一通用原则。这个顺序并非偶然,它与国密体系(SM2算法)在安全考量和技术实现上的独特设计紧密相关。
国密证书的正确配置核心在于严格区分证书用途,这主要通过 Key Usage 和 Extended Key Usage 两个扩展属性来定义。目前国密证书主要有两种应用模式:遵循 GM/T 0015 标准的单证书模式,以及 TLCP 协议下专用···
为生产环境中的国密证书设置有效期,核心原则是在安全性、合规性与运维效率之间找到最佳平衡点。选择的出发点,首先取决于你的证书是用于公网还是内部私有网络。
构建完整的国密证书链,核心过程是通过根证书(Root CA)为中间证书(Intermediate CA)签名,再由中间证书为服务器签名证书和加密证书(即“双证书”)签名。整个流程就像是建立一套有层级、有规则的信任体系。
