博客 / 詳情

返回

國密IP地址證書怎麼申請?

國密IP地址證書是採用SM2、SM3、SM4等國產商用密碼算法的IP地址認證證書,可實現IP通信的數據加密、身份驗證,滿足《密碼法》《網絡安全法》及等保2.0等合規要求,廣泛應用於政務、金融、企業內網、物聯網等場景。申請需遵循“前提核查—材料準備—機構申請—驗證簽發—部署運維”的核心邏輯,以下是詳細流程。

一、申請前核心前提核查

啓動申請前需確認兩項關鍵前提,避免無效操作:

1. IP地址合法性與類型適配

需使用固定IP地址(靜態IP),動態IP因地址易變,多數CA機構不支持直接申請,需通過DNS解析綁定域名後轉為域名證書申請。按使用場景分為兩類:

  • 公網IP:需提供運營商(電信、聯通等)出具的IP分配證明(如ISP工單、服務合同),並確認80(驗證用)、443(服務用)端口可正常訪問,可通過nmap -p 80,443 <IP地址>命令檢測端口可達性;
  • 內網IP:需提供企業內網IP分配説明(註明網段、用途、管理部門,加蓋IT部門或公章)及服務器資產清單,證明IP所屬權,同時完成內網穿透測試(可通過curl -v http://內網IP:端口驗證服務可達性)。

2. 證書類型與驗證級別選擇

根據使用場景選擇對應證書類型,其中等保二級及以上系統需選擇OV(組織驗證)或EV(擴展驗證)級別,DV(域名驗證)級別僅適用於測試場景,無法滿足合規要求:

  • 按驗證級別:DV證書(最快5分鐘簽發,僅驗證IP歸屬,適合測試)、OV證書(1-3個工作日,驗證企業/組織身份,適合生產環境)、EV證書(3-5個工作日,最高級別驗證,瀏覽器顯示綠色安全鎖,適合金融、政務等高風險場景);
  • 按算法類型:純國密證書(僅支持SM2/SM3/SM4,需客户端安裝國密瀏覽器如360安全瀏覽器國密專版)、雙算法證書(兼容SM2國密算法與RSA國際算法,自動適配不同客户端,推薦主流場景使用)。

二、申請材料準備

材料需提供清晰掃描件(加蓋公章,個人用户除外),不同主體(企業/個人)、場景(公網/內網)材料略有差異,核心清單如下:

1. 基礎資質材料

  • 企業用户:營業執照副本(已完成三證合一的無需額外提供組織機構代碼證、税務登記證)、法定代表人身份證正反面掃描件、經辦人授權委託書(需註明申請用途、IP地址範圍,法人簽字並加蓋公章);
  • 個人用户:身份證正反面掃描件、IP租賃合同(部分CA機構要求,證明IP使用權)、服務用途説明;
  • 特殊行業(金融、醫療、政務):額外提供行業許可證(如《支付業務許可證》、事業單位法人證書),政務場景建議選擇上海CA等具備政務雲認證經驗的機構。

8.5上午.jpg

2. IP與技術證明材料

  • IP歸屬證明:公網IP提供運營商IP分配證明,內網IP提供內網IP分配説明及服務器資產清單;
  • 密鑰與CSR文件:通過國密合規工具(如GMSSL、JoySSL工具)生成SM2密鑰對及CSR(證書籤名請求)文件,需確保私鑰安全存儲(建議使用HSM硬件安全模塊或加密密鑰庫),避免泄露。

三、核心申請流程(第三方CA機構申請)

國密IP證書需向具備《電子認證服務許可證》及國家密碼管理局認證的國內CA機構申請,國際CA機構因未通過國密認證,證書無法滿足合規要求。主流推薦機構:JoySSL(支持公網/內網IP,提供免費測試證書)、CFCA(金融級安全,支持雙算法)、上海CA(政務場景適配)。流程分為5步:

1. 選擇CA機構與申請入口

登錄選定CA機構官網(如JoySSL、CFCA),找到“國密IP證書”或“IP SSL證書”申請入口,根據前期規劃選擇證書類型(DV/OV/EV)、算法模式(純國密/雙算法)及保護IP數量(單IP/多IP)。

2. 填寫申請信息並上傳材料

準確填寫申請信息:包括IP地址(單個或多個,需準確無誤)、申請人信息(姓名、職務、聯繫方式、企業郵箱)、服務器配置(如Nginx、Apache等服務器類型);隨後按系統提示上傳準備好的資質材料(營業執照、IP證明、CSR文件等),企業用户需確保材料加蓋公章,掃描件清晰度滿足OCR識別要求。

3. 完成IP歸屬與身份驗證

CA機構會通過以下方式完成驗證,驗證方式因IP類型而異:

  • 公網IP:多采用“文件驗證”或“端口驗證”——CA提供驗證文件(如verify.txt),申請人上傳至服務器根目錄,CA掃描確認後完成驗證;或通過端口80/443發送驗證指令,確認IP控制權;
  • 內網IP:因無公網訪問通道,多采用“郵件驗證”或“線下驗證”——CA向企業官方郵箱(需與營業執照註冊域名一致)發送驗證鏈接,點擊確認即可;部分機構需線下提交材料複印件備案;
  • OV/EV級別額外驗證:CA會核查企業工商信息(通過國家企業信用信息公示系統),EV級別還需驗證企業物理地址、公司章程等,可能需人工回訪確認。

4. 審核通過與證書籤發

審核時長根據證書級別而定:DV證書最快5分鐘完成審核並簽發,OV證書1-3個工作日,EV證書3-5個工作日。審核通過後,CA機構會通過郵件發送證書包(含服務器證書、中間證書、根證書),部分機構提供硬件UKEY存儲證書(適合金融場景)。

5. 部署與兼容性測試

下載證書後,按服務器類型完成部署配置,以Nginx為例,核心配置如下:

server {
  listen 443 ssl;
  server_name 203.0.113.45; # 替換為申請的IP地址
  ssl_certificate /path/to/full_chain.pem; # 證書鏈文件
  ssl_certificate_key /path/to/private.key; # 私鑰文件
  ssl_protocols TLSv1.2 TLSv1.3; # 禁用低版本協議
  ssl_ciphers 'ECDHE-SM4-GCM-SM3:ECDHE-RSA-AES128-GCM-SHA256'; # 優先國密加密套件
}

部署後需完成兩項測試:一是通過openssl s_client -connect IP地址:443 -showcerts驗證證書鏈完整性;二是兼容性測試,純國密證書需確認客户端使用國密瀏覽器,雙算法證書需測試不同瀏覽器(Chrome、360國密版)的自適應效果。

四、關鍵注意事項與運維建議

1. 合規性把控

確保證書由國內合規CA機構簽發,且CA具備《電子認證服務使用密碼許可證》,避免使用國際CA證書導致等保測評不通過;證書算法必須包含SM2/SM3/SM4,僅支持RSA的證書無法滿足國密合規要求。

2. 安全與運維管理

  • 私鑰安全:私鑰是證書核心,需避免明文存儲,推薦使用HSM硬件加密機或加密密鑰庫,定期輪換密鑰(建議6-12個月);
  • 續期提醒:國密證書有效期通常為1年,需提前30天申請續期,可通過Prometheus等工具監控證書剩餘天數,或使用Certbot、CA機構API實現自動化續期;
  • 故障排查:若出現“證書鏈不完整”警告,需補充中間證書;若客户端不信任,需檢查根證書是否安裝正確,內網場景可通過組策略(GPO)批量部署根證書。

3. 成本參考

DV測試證書多為免費,OV級別國密IP證書年成本約500-2000元,EV級別約2000-5000元,金融場景搭配硬件加密機的整體成本約1-3萬元/年。

綜上,國密IP地址證書申請的核心是“合規為先、材料齊全、驗證到位”,優先選擇雙算法證書兼顧安全與兼容性,同時建立全生命週期運維流程,確保滿足長期合規要求。若需快速落地,可優先選擇JoySSL、CFCA等提供一對一技術支持的機構,縮短申請週期。

前端
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.