1. 首页
  2. 文章
peco

国密SSL证书双证书部署方案(SM2+RSA)

peco · 8天之前 · 140 次点击 · 预计阅读时间 3 分钟 · 大约8小时之前 开始浏览    
第一次,站长亲自招 Gopher 了>>>

一、国密 SSL 证书概述

国密 SSL 证书采用我国自主设计的 SM2 椭圆曲线公钥算法体系,遵循我国国家标准和管理规范。与常用的国际算法 RSA SSL 证书工作机制类似,但其通过自主可控的国产密码技术,有效保护数据的机密性与完整性,防止数据在传输过程中被窃取或篡改,实现国密 HTTPS 加密通信以及服务器身份认证,为网络通信安全提供坚实保障。

二、双证书部署方案的必要性

随着网络环境的日益复杂,不同用户使用的浏览器和移动终端种类繁多。部分老旧或国外的浏览器及终端设备并不支持国密算法,如果仅部署国密 SSL 证书,这些设备将无法正常访问相关网站或应用,极大影响用

户体验而双证书部署方案(SM2+RSA)则能有效解决这一兼容性难题,确保各类用户都能安全、顺畅地访问网络资源。

国密SSL证书申请https://www.joyssl.com/certificate/select/national_secret_algorithm.html?nid=7

填写注册码(230907)即可优惠申请SSL证书

69ec715e8cc2eddd31fdfcf6f69d0ec.png

三、双证书部署方案详解

  1. 证书选择:需要准备符合国密标准的 SM2 证书以及国际通用的 RSA 证书。SM2 证书用于支持国密算法的浏览器和设备访问时的加密通信,RSA 证书则服务于不支持国密算法的全球通用浏览器及移动终端。
  1. 部署位置:通常在国密 SSL 支持模块或国密 SSL 网关上进行 SM2/RSA 双 SSL 证书的部署。这些模块或网关能够根据访问用户所使用的浏览器或终端设备类型,智能选择合适的证书进行加密通信。
  1. 工作流程:当用户使用 360 浏览器、沃通国密浏览器、红莲花浏览器等支持国密算法的浏览器访问时,系统自动采用 SM2 证书进行国密算法的 HTTPS 加密,保障通信安全并符合国家密码政策要求;当用户使用 Chrome、火狐、IE、Safari 等不支持国密算法的全球通用浏览器访问时,系统则自动切换为 RSA 证书,采用 RSA 算法进行 HTTPS 加密,确保兼容性,使不同用户都能顺利访问。

c142d505547b53aede5b318d3b90289.png

四、部署步骤(以 Nginx 服务器为例)

  1. 准备工作

    • 已通过相关平台签发 RSA 算法的 SSL 证书和符合国密标准的 SM2 证书。。
    • SSL 证书绑定的域名已完成 DNS 解析,且若域名在中国内地,需确保已完成 ICP 备案,并在 Web 服务器开放 443 端口。

  • 下载证书文件:从证书管理控制台下载证书压缩包并解压。解压后,RSA 加密算法证书文件通常为 <证书 ID证书绑定域名>.pem 和 < 证书 ID证书绑定域名 >.key;SM2 加密算法证书文件中,签名证书为 < 证书绑定域名 >_sm2_sign.pem 和 < 证书绑定域名 >_sm2_sign.key,加密证书为 << 证书绑定域名 >>_sm2_enc.pem 和 << 证书绑定域名 >>_sm2_enc.key 。

  1. 安装 Nginx 服务及国密 SM2 模块:由于官方版 Nginx+OpenSSL 不支持国密算法,若要适配国密算法,需要卸载已安装的 Nginx 后重新编译,并指定支持国密 SM2 模块。
  1. 配置 SSL 证书:在 Nginx 的配置文件目录下,创建用于存放国密标准 SSL 数字证书的 cert 目录。然后在 /usr/local/nginx/conf 目录下,修改 nginx.conf 配置文件,添加如下配置(具体配置需根据实际环境调整证书目录、证书名称及域名等):
#配置ssl证书所需的加密套件
ssl_ciphers ECC - SM4 - SM3:ECDH:AESGCM:HIGH:MEDIUM:!RC4:!DH:!MD5:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
location / {
    root html;
    index index.html index.htm;
}
  1. 验证与重启:使用命令 /usr/local/nginx/sbin/nginx -t 验证配置文件是否正确。若配置无误,提示 nginx.conf test is successful,此时可重启 Nginx 服务,使配置生效,命令为 /usr/local/nginx/sbin/nginx -s reload 。

e8db99848ad1cfa3e971fe623c91e93.png

五、验证部署结果

打开浏览器,在地址栏输入 “https:// 证书绑定域名” 并访问。若网页地址栏出现安全锁标志,则表示证书已成功安装。需要注意的是,国密标准 SSL 数字证书需与支持国密算法的浏览器配合使用,才能确保通信安全。在支持国密算法的浏览器中访问时,使用的是 SM2 证书加密;在不支持国密算法的浏览器中访问时,使用的是 RSA 证书加密。

六、总结

国密 SSL 证书双证书部署方案(SM2+RSA)通过巧妙结合两种证书的优势,既满足了国家对于密码应用合规性的要求,保障了数据传输的安全性,又解决了国密算法在广泛应用中面临的兼容性问题,使各类用户都能享受到安全、稳定的网络服务。在网络安全形势日益严峻的今天,这种部署方案对于政府、金融、企业等各类机构的网络应用具有重要的推广价值和实践意义,能够助力构建更加安全、可靠的网络生态环境。

有疑问加站长微信联系(非本文作者))

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

140 次点击  
加入收藏 微博
收入我的专栏
上一篇:一文弄懂用Go实现MCP服务
下一篇:代码签名证书全解析:作用、类型与申请流程
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传

用户登录

Go今日面试题

 今日阅读排行

 一周阅读排行

  关注我

  • 扫码关注领全套学习资料 关注微信公众号
  • 加入 QQ 群:
    • 192706294(已满)
    • 731990104(已满)
    • 798786647(已满)
    • 729884609(已满)
    • 977810755(已满)
    • 815126783(已满)
    • 812540095(已满)
    • 1006366459(已满)
    • 692541889

  • 关注微信公众号
  • 加入微信群:liuxiaoyan-s,备注入群
  • 也欢迎加入知识星球 Go粉丝们(免费)