随着国家密码管理局推动商用密码体系自主可控，基于SM2椭圆曲线算法的国密SSL证书正逐步在政府、金融、能源等关键领域推广应用。为兼顾安全性与兼容性，采用SM2与RSA双证书并行部署方案成为当前主流实践。本文将从技术原理、部署前提、实操步骤、合规验证四个维度，系统讲解CFCA国密证书部署SM2与RSA双加密方案的落地实施，兼顾专业性与可操作性。

一、方案核心原理与应用价值

1. 双加密方案本质

CFCA双加密方案通过自适应数据安全网关实现SM2国密算法与RSA国际算法的协同部署，核心逻辑是：服务器端同时部署两类证书，客户端访问时由网关自动识别浏览器算法支持能力——国密浏览器（如CFCA锦帛浏览器、360国密专版）优先建立SM2加密通道，主流国际浏览器（Chrome、Firefox等）自动适配RSA证书通信，无需修改原有业务架构。

2. 算法特性对比与互补优势

3. 方案核心价值

• 合规达标：满足国产密码改造要求，助力密评与等保2.0认证；
• 体验无感知：用户无需手动切换，浏览器自动适配最优加密通道；
• 安全升级：SM2算法抗量子计算攻击，RSA保障存量系统兼容性；
• 金融级可靠：CFCA作为国家级CA机构，证书通过WebTrust审计与国密局资质认证。

二、部署前准备工作

1. 环境兼容性核查

（1）服务器端：

• 支持GMSSL协议栈（Nginx需≥1.16，Tomcat≥8.5，Apache≥2.4）；
• 安装硬件加密模块（HSM）或CFCA KMS密钥管理系统（推荐金融级场景）；
• 开放443端口（RSA通信）与446端口（国密专用），关闭弱加密协议（SSLv3、TLSv1.0）。

（2）客户端：

• 国密环境：部署锦帛浏览器、红莲花浏览器等支持SM2的客户端；
• 国际环境：确保Chrome≥80、Firefox≥75等主流浏览器支持TLSv1.2+。

（3）命令行验证：

# 验证服务器SM2算法支持
gmssl ecparam -list_curves | grep SM2
# 验证RSA密钥长度合规性
openssl rsa -in rsa.key -text -noout | grep "Public-Key"

2. 证书申请与材料准备

（1）申请机构：选择CFCA等具备国密证书签发资质的权威CA；

（2）证书类型：双算法SSL证书（含SM2国密证书与RSA国际证书），支持单域名/多域名/通配符类型；

（3）申请材料：

• 企业资质：营业执照副本、经办人身份证（加盖公章）；
• 域名验证：DNS解析TXT记录、网站根目录验证文件或企业邮箱验证；
• CSR文件生成：

# 生成SM2密钥对与CSR（国密）
gmssl ecparam -genkey -name sm2p256v1 -out sm2.key
gmssl req -new -key sm2.key -out sm2.csr -sm3
# 生成RSA密钥对与CSR（国际）
openssl genrsa -out rsa.key 2048
openssl req -new -key rsa.key -out rsa.csr -sha256

（4）证书获取：审核通过后，CFCA将提供包含证书文件（.crt/.pem）、私钥文件（.key）、根证书链的压缩包。

三、分步实操部署流程

1. 核心架构部署：自适应网关配置

CFCA双加密方案的核心是自适应数据安全网关，部署于Web服务器与客户端之间，实现算法自动识别与证书切换，无需改造原有业务系统。

网关部署要求：

• 硬件配置：CPU≥8核、内存≥16GB、硬盘≥500GB（金融级场景建议双机热备）；
• 系统支持：CentOS 7.6+、统信UOS、麒麟操作系统；
• 网络配置：网关IP与Web服务器内网互通，对外映射443/446端口。

2. 服务器证书配置（以Nginx为例）

（1）证书文件部署

将CFCA签发的证书文件上传至服务器指定目录（如/etc/ssl/cfca/），确保权限配置为600（仅root可读写）：

# 目录权限设置
mkdir -p /etc/ssl/cfca && chmod 700 /etc/ssl/cfca
# 上传证书文件并授权
cp sm2.crt sm2.key rsa.crt rsa.key /etc/ssl/cfca/
chmod 600 /etc/ssl/cfca/*

（2）Nginx核心配置

编辑Nginx配置文件（/etc/nginx/conf.d/default.conf），实现双算法证书适配：

server {
    listen 443 ssl;          # RSA算法默认端口
    listen 446 ssl;          # SM2国密算法专用端口
    server_name example.com; # 替换为实际域名

    # RSA证书配置（国际浏览器适配）
    ssl_certificate /etc/ssl/cfca/rsa.crt;
    ssl_certificate_key /etc/ssl/cfca/rsa.key;
    # SM2证书配置（国密浏览器适配）
    ssl_certificate /etc/ssl/cfca/sm2.crt;
    ssl_certificate_key /etc/ssl/cfca/sm2.key;

    # 协议与加密套件配置（符合PCI DSS 4.0要求）
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    # 双算法套件优先级：国密套件优先于RSA套件
    ssl_ciphers ECDHE-SM2-WITH-SM4-SM3:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;

    # 会话缓存优化
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    # 其他基础配置
    root /usr/share/nginx/html;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
}

（3）Tomcat服务器适配配置

若业务系统基于Tomcat部署，修改conf/server.xml文件：

43" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
     -->
    Config>
         certificateFile="conf/rsa.crt"
                     certificateKeyFile="conf/rsa.key"
                     certificateChainFile="conf/rsa-chain.crt"
                     type="RSA" />
    
</Connector>

<Connector port="446" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    
    >
        File="conf/sm2.crt"
                     certificateKeyFile="conf/sm2.key"
                     certificateChainFile="conf/sm2-chain.crt"
                     type="EC" />
    >

3. 网关自适应规则配置

登录CFCA自适应数据安全网关管理后台（默认地址https://网关IP:8443），配置算法识别规则：

（1）创建算法识别策略：

• 策略名称：双算法自适应策略；
• 触发条件：客户端User-Agent包含"GMSSL"（国密浏览器标识）时，路由至446端口（SM2）；
• 默认路由：未识别国密标识时，路由至443端口（RSA）。

（2）证书关联配置：

• 绑定SM2证书至446端口，启用SM4对称加密（传输层）与SM3哈希算法（完整性校验）；
• 绑定RSA证书至443端口，启用AES256-GCM加密套件。

（3）日志与审计配置：

• 启用SSL连接日志，记录客户端IP、算法类型、证书序列号、连接时长；
• 日志同步至SIEM系统，留存期≥1年（符合等保2.0要求）。

四、部署验证与问题排查

1. 功能验证步骤

• 国密浏览器验证：

a. 使用CFCA锦帛浏览器访问https://example.com；

b. 点击地址栏"安全锁"→"证书详情"，确认算法为"SM2"，协议为"TLSv1.2+GMSSL"。

• 国际浏览器验证：

a. 使用Chrome浏览器访问同一域名；

b. 开发者工具→Security→ViewCertificate，确认算法为"RSA"，密钥长度≥2048位。

• 命令行验证：

# 验证SM2连接
gmssl s_client -connect example.com:446 -servername example.com
# 验证RSA连接
openssl s_client -connect example.com:443 -servername example.com

2. 合规性验证（基于PCI DSS 4.0）

3. 常见问题排查

五、运维管理与安全最佳实践

1. 证书生命周期管理

• 定期更新：SM2与RSA证书有效期通常为1-2年，提前30天通过CFCA控制台申请重签发；
• 密钥轮换：通过CFCA KMS系统每90天轮换一次加密密钥，避免静态密钥风险；
• 应急吊销：证书泄露时，立即通过CFCA官网或API吊销证书，10分钟内完成全网同步。

2. 安全加固措施

• 禁用弱算法：网关层面禁用TLSv1.0/1.1、SHA1、RC4等不安全协议与套件；
• 访问控制：绑定证书与服务器IP/MAC地址，限制第三方未授权访问；
• 硬件加密：核心业务系统采用CFCA硬件加密机（HSM）存储私钥，防止侧信道攻击。

3. 适配信创环境

• 兼容统信UOS、麒麟等国产操作系统，以及龙芯、飞腾等自主架构服务器；
• 支持360国密浏览器、奇安信可信浏览器等信创客户端，实现端到端国密加密；
• 集成CFCA安全输入控件、反钓鱼组件，满足政务、金融等敏感场景需求。

CFCA国密证书部署不仅是技术升级，更是国家信息安全战略的重要实践。通过SM2与RSA双加密方案，企业可在保障安全合规的同时，实现平滑过渡与全用户覆盖。建议各单位结合自身业务场景，制定分阶段国密改造路线图，优先在金融、政务、能源等关键系统中落地实施。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!