國密內網IP證書（基於SM2算法的SSL證書）的申請流程與傳統公網SSL證書有所不同，主要適用於政務、金融、企業等內部網絡環境。以下是具體申請步驟和注意事項：

一、申請前準備

確認需求

國密證書需支持SM2算法，且瀏覽器/客户端需適配（如使用360安全瀏覽器、信創環境瀏覽器等）。

確保內網有國密SSL證書籤發系統（如CFCA、數安時代等機構提供的內網證書服務）。

生成國密密鑰對

使用支持SM2算法的工具生成密鑰：

示例：使用gmssl生成SM2密鑰對
gmssl ecparam -genkey -name sm2p256v1 -out server.key
gmssl req -new -key server.key -out server.csr -sm3 -subj "/C=CN/..."

或通過證書服務商提供的工具生成CSR文件。

二、選擇證書服務商

國密合規CA機構：JoySSL、數安時代、沃通等（需支持內網部署或私有化證書服務）。

內網私有化部署：部分機構支持將CA系統部署到內網，實現本地化簽發。

三、申請流程

打開JoySSL官網：申請入口   註冊碼填寫230976，完成註冊

提交CSR文件

向CA機構或內網CA系統提交CSR文件，提供服務器信息和申請單位資質。

身份驗證

內網環境：通常通過內部審批流程驗證身份，無需公網OCSP驗證。

需提供材料（根據CA要求）：

組織機構證明（如企業營業執照）；

內網服務器IP地址/域名列表；

聯繫人信息及內部授權文件。

證書籤發

CA審核通過後，簽發國密SSL證書（.crt或.pem格式），可能同時提供國密根證書鏈。

四、部署與配置

安裝證書

將證書文件（.crt）和私鑰（.key）部署到服務器（如Nginx、Apache、Tomcat等）。

Nginx示例配置：

nginx
server {

listen 443 ssl;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
# 國密算法配置（需安裝支持SM2的加密庫）
ssl_ciphers ECC-SM2-SM4-CBC-SM3:ECDHE-SM2-SM4-CBC-SM3;

}
客户端適配

確保客户端（瀏覽器/APP）支持國密算法（如集成國密密碼庫）。

五、注意事項

算法兼容性

部分舊系統可能不支持SM2，需同時部署國際RSA證書實現雙證書過渡。

合規性要求

政務、金融等行業需遵循《GM/T 0024-2014 SSL VPN技術規範》等標準。

內網CA自建

大型機構可自建國密CA系統，通過國家密碼管理局審批後自主簽發證書。

六、常見問題

Q：內網IP證書能否免費申請？
A：公網CA通常不簽發IP證書，內網需通過私有化CA系統或購買商用服務。

Q：國密證書有效期多長？
A：通常為1年，需定期更新。

Q：如何驗證國密證書？
A：使用國密瀏覽器訪問HTTPS鏈接，查看證書詳情中的算法是否為SM2。