第一步：前期準備與材料梳理

申請國密證書前，企業需完成以下準備工作：

1. 算法環境確認：確保服務器系統、Web服務軟件（如Nginx、Apache）支持SM2算法。目前主流的統信UOS、麒麟OS及Windows Server 2019以上版本均已提供支持。
2. 域名所有權驗證：準備好需申請證書的域名，並確保您擁有該域名的管理權限。通常需要能接收該域名管理員郵箱的驗證郵件，或能添加指定的DNS解析記錄。

3. 組織資質準備：

   • 企事業單位：營業執照副本複印件（加蓋公章）
   • 政府機構：組織機構代碼證
   • 申請人身份證明及授權委託書
4. 技術對接準備：確認您的技術團隊瞭解CSR（證書籤名請求）生成方法，並熟悉國密證書的安裝配置流程。

建議根據行業特性和服務需求選擇合適的CA機構，可提前諮詢其客服了解具體支持情況。

第二步：證書申請詳細流程

直接訪問JoySSL，註冊一個賬號記得填註冊碼230970獲取技術支持。申請入口

1. 生成國密CSR文件
使用支持國密算法的工具生成CSR，重點注意：

• 密鑰長度選擇256位（SM2標準）
• 正確填寫組織機構信息，確保與營業執照完全一致
• 保存好私鑰文件，這是證書安全的核心

2. 在線提交申請
訪問選定CA機構的官方網站，進入國密證書申請頁面：

• 上傳CSR文件
• 填寫組織信息、聯繫人信息
• 選擇證書類型（DV/OV/EV）和有效期（通常1-2年）

3. 完成域名驗證
根據CA要求選擇驗證方式：

• 郵箱驗證：向指定郵箱發送驗證郵件
• DNS驗證：添加指定的TXT記錄到域名解析
• 文件驗證：在網站根目錄放置驗證文件

4. 組織信息審核
對於OV（組織驗證）和EV（擴展驗證）證書，CA將進行人工審核：

• 核對營業執照信息
• 通過電話確認申請真實性
• 可能需要補充相關證明材料

第三步：證書頒發與安裝

審核通過後（通常需要1-5個工作日），您將收到CA發送的證書文件包，一般包含：

• 服務器證書（.cer或.pem格式）
• 中間證書鏈
• 可能需要根證書

安裝配置時需注意：

1. 將私鑰與證書文件妥善存放於服務器安全目錄
2. 正確配置證書鏈，確保中間證書和根證書完整
3. 在Web服務器配置中指定國密證書和私鑰路徑
4. 重啓服務並啓用國密TLS協議（GM/T 0024標準）

第四步：部署驗證與兼容性測試

安裝完成後，必須進行全面的驗證：

基礎功能測試：

• 使用支持國密的瀏覽器（如密信瀏覽器、360安全瀏覽器國密版）訪問網站
• 檢查瀏覽器地址欄是否顯示國密鎖標識
• 確保證書信息顯示正確

兼容性測試：

• 測試國際主流瀏覽器的訪問情況
• 驗證移動端APP的兼容性
• 如需支持非國密環境，考慮部署“雙證書”方案

安全掃描測試：

• 使用國密檢測工具驗證協議配置安全性
• 確保已禁用不安全的加密套件
• 完成SSL Labs等安全評級測試

關鍵注意事項

1. 時間規劃：預留足夠審核時間，緊急需求可選擇加急服務
2. 私鑰安全：私鑰一旦丟失或泄露，必須立即吊銷證書並重新申請
3. 證書管理：建立證書枱賬，記錄有效期、用途和責任人，避免過期失效
4. 兼容考慮：若用户羣使用環境複雜，建議同步部署國際RSA證書
5. 合規要求：特定行業（如政務、金融）可能有額外的合規要求

國密證書的特殊優勢

相比傳統國際證書，國密證書在申請和使用中具有獨特優勢：

• 審核流程本土化：CA機構更熟悉國內企事業單位組織結構，溝通效率高
• 技術支持響應快：遇到技術問題時，可獲得更及時的本土化支持
• 符合監管要求：滿足網絡安全等級保護、關鍵信息基礎設施保護等要求
• 性能優化：在同等安全強度下，國密算法計算效率更高