应用背景
近年来,为突破关键核心技术”卡脖子”困境、构建自主可控的网络安全体系,我国系统推进商用密码算法创新,国密SSL证书作为代表性成果,基于SM2/SM3/SM4等国产密码算法,在加密强度、密钥管理及安全可控性方面较国际证书显著提升。
《网络安全法》《数据安全法》等基础性法律与《关键信息基础设施安全保护条例》等专项制度协同推进,明确要求政务、金融、央企等重点行业完成国密算法改造和SSL证书升级,标志着我国网络空间治理进入”自主密码+合规认证”新阶段。
尽管具备安全可控优势,国密SSL证书仍面临主流浏览器兼容性挑战。由于国际浏览器尚未全面支持国产算法,跨平台访问易出现信任链断裂。当前业界采用双证书部署方案——服务器端智能识别机制可为国密客户端(如国内定制浏览器)提供SM2证书,同时为国际浏览器自动切换RSA证书,实现安全与兼容的动态平衡。
需求分析
1.依据《密码法》第26条(2020年实施),关键信息基础设施必须部署商用密码
2.金融、政务等领域需满足国密标准(如GM/T 0024-2014)及等保、密评等政策要求
3.国务院办公厅【2018】36号文,要求金融和重要领域在2022年前落实并完成国产密码改造工作
4.需支持国密浏览器访问国密无效的RSA证书自动回退机制及非国密浏览器访问的兼容性
双证书自适应解决方案
1.在服务端配置国际(RSA)与国密(SM2)双算法SSL证书,覆盖单域名、多域名场景
2.国密标准客户端建立国密SSL通道,国际客户端建立传统SSL通道,分别使用对应算法保障安全
3.金融/政务领域 :满足国密合规要求,支持SM2/SM3算法,适配国产浏览器及国际标准客户端
方案架构
服务器配置RSA+SM2(使用通过国密改造Nginx配置):
国密双证书机制说明:
1.双证书部署 服务端并行部署两种加密证书:国际标准证书(基于RSA算法)、国密SM2证书(基于SM2算法)
2.协商流程与加密通道 当国密浏览器发起HTTPS连接时:自动执行国密SSL/TLS协议握手,优先建立基于SM2算法的加密通道
3.成功建立握手后:浏览器地址栏显示加密绿锁、叠加国密认证标识(如”GM”图标或”国密”字样,具体标识样式因浏览器厂商而异)
4.自适应降级机制 当检测到以下情况时自动切换至国际加密算法:SM2证书状态异常(过期/吊销/不匹配)或客户端不支持国密协议,密钥交换协商失败 系统无缝回退至RSA算法(2048位及以上)继续通信
测试网址:https://gmssl.trustauth.cn/
领取优惠
提交成功!