國密SSL證書裏面包含哪些內容?如何選擇國密SSL證書？

國密 SSL 證書包含證書使用者信息、證書頒發者信息、證書有效期等內容，選擇時需考慮算法合規性、證書類型、頒發機構等因素。具體如下：

國密 SSL 證書包含的內容

1. 證書使用者信息：記錄域名、組織名稱、所在地等，是驗證證書合法性的重要依據。
2. 證書頒發者信息：記錄證書頒發機構 CA 的名稱，可據此判斷證書的權威性和可信度。
3. 證書有效期：包含頒發日期和截止日期，用於查看證書有效性，提醒及時續費。
4. 證書類型：包括證書版本、序列號、證書類型等，證書類型可以是單域名、通配符、DV、OV 或 EV。
5. 證書使用算法：記錄公鑰算法（如橢圓曲線公鑰算法）和簽名算法（如 SM3、SM2 等）。
6. 擴展信息：包括證書策略、證書密鑰用法、授權信息訪問、CRL 分發點、證書基本約束、擴展密鑰用法等。

https://www.joyssl.com/certificate/select/national_secret_alg...

選擇國密 SSL 證書的方法

1. 確保算法合規：根據《商用密碼應用安全性評估管理辦法》及 GB/T 39786-2021 標準，等保測評要求網絡通信必須採用國產密碼算法，如 SM2、SM3、SM4 等，所以要選擇支持這些算法的證書。
2. 選擇合適的證書類型：等保二級及以上系統必須使用 OV 或 EV 證書，金融、政務等高風險場景推薦 EV 證書。DV 證書僅驗證域名所有權，無法滿足等保要求。
3. 關注證書頒發機構：優先選擇國內可信的 CA 機構，如 JoySSL、CFCA 等，這些機構通過了國家密碼管理局認證，驗籤服務器部署在國內，符合等保數據不出境要求。
4. 考慮兼容性：若使用純國密證書，需確保用户終端安裝國密瀏覽器，如 360 安全瀏覽器、紅蓮花瀏覽器等。也可選擇支持雙算法的證書，如 KeepTrust SM2 國密算法 SSL 證書，可實現國密 SM2 和國際 RSA 算法雙支持，解決過渡期的兼容性問題。
5. 確保證書鏈完整性：要確保證書文件包含服務器證書、中間證書和根證書，避免瀏覽器顯示 “證書鏈不完整” 警告。
6. 注意密鑰長度和加密協議：SM2 算法固定 256 位密鑰長度，符合國密標準。加密協議需強制啓用 TLS 1.2 及以上版本，禁用 SSLv2/SSLv3/TLS 1.0/TLS 1.1 等存在漏洞的版本。
7. 關注證書的有效期和續期：國密證書有效期通常為 1 年，需提前 30 天申請續期，可選擇 JoySSL API 接口等自動化續期工具，避免證書過期導致服務中斷。