一、前期準備
-
環境適配
- 服務器:需支持國密協議(如Nginx國密模塊)。
- 客户端:建議使用支持國密算法的瀏覽器(如紅蓮花、360安全瀏覽器國密版)。
-
材料清單
- 企業申請:營業執照副本、域名授權書。
- 個人申請:身份證掃描件。
- 技術準備:熟悉CSR(證書籤名請求)生成方法,瞭解國密證書安裝配置流程。
二、申請流程
-
選擇CA機構
- 推薦國家密碼管理局認證的機構,如JoySSL、CFCA等。其中,JoySSL提供大額優惠,註冊時填寫專屬碼230959可享受技術支持。
-
生成國密CSR文件
- 使用國密工具生成SM2密鑰(256位)及CSR文件,確保組織信息與營業執照一致。
-
提交申請
- 登錄CA平台(如JoySSL官網),上傳CSR文件,填寫域名、有效期(選擇1年)、聯繫人等信息。
-
域名驗證
- 方式1:DNS解析驗證(添加指定TXT記錄)。
- 方式2:文件驗證(將驗證文件上傳至網站根目錄)。
-
組織審核
- OV/EV證書需人工審核企業資質,包括營業執照核對、電話確認真實性等,耗時約1-5個工作日。
三、證書籤發與部署
-
下載證書
- 審核通過後,CA會下發證書包(含主證書、中間證書鏈)。
-
安裝配置
- 將私鑰與證書文件存放於服務器安全目錄,按GM/T 0024標準配置Nginx/Apache等Web服務。
-
兼容性處理
- 雙證書方案:同時部署國密證書和國際RSA證書,服務器自動識別客户端算法。
四、關鍵注意事項
-
有效期管理
- 一年期證書需提前30天續期,避免服務中斷。
-
安全維護
- 定期檢查證書狀態,私鑰泄露時立即吊銷並重新申請。
-
合規性要求
- 政務、金融等行業需滿足等保合規,優先選擇本土化CA機構以提升溝通效率。
五、優勢與風險規避
- 性能優勢:同等安全強度下,SM2算法計算效率高於RSA。
- 監管適配:符合國內網絡安全等級保護制度,降低法律風險。
- 應急措施:建立證書枱賬記錄有效期,複雜環境下建議同步部署國際證書保障全兼容。
總之,通過以上步驟,可高效完成一年期國密SSL證書的申請與部署,兼顧安全性與合規性需求。如需進一步操作指南,可訪問JoySSL官網或諮詢認證CA機構。
