https://www.joyssl.com/certificate/select/intranet_ip_certificate.html?nid=59
https://www.joyssl.com/certificate/select/intranet_ip_certificate.html?nid=59
国密算法 内网IP证书 注册码230959 赠送国密浏览器⬆️
一、国密SSL证书体系
在内网高安全环境中部署国密SSL证书需遵循以下架构:
-
证书类型
- 采用符合GM/T 0015标准的SM2椭圆曲线数字证书
- 支持双向认证:客户端与服务端均需配置证书
-
密钥交换
使用SM2算法实现密钥协商,基本流程: \\begin{aligned} \&\\text{客户端生成临时密钥对}(d_C, P_C) \\ \&\\text{服务端生成临时密钥对}(d_S, P_S) \\ \&\\text{共享密钥} K = \\text{SM2_KeyExchange}(d_C, P_S, d_S, P_C) \\end{aligned}
-
证书链配置
bash# 典型部署结构 Root-CA └── Issuing-CA ├── Server-Cert └── Client-Cert
二、SM4分组密码算法
-
核心参数
- 分组长度:128位
- 密钥长度:128位
- 加密模式:CBC/CTR(需配合GMAC认证)
-
加密过程数学表示: \\begin{cases} X_{i} = \\text{Plaintext}*{i} \\oplus C*{i-1} \& \\text{(CBC模式)} \\ Y_{i} = \\text{SM4_Encrypt}(X_i, K) \\end{cases}
-
代码示例(CBC模式)
pythonfrom gmssl.sm4 import CryptSM4, SM4_ENCRYPT key = b'16_byte_long_key' crypt_sm4 = CryptSM4() crypt_sm4.set_key(key, SM4_ENCRYPT) iv = b'0000000000000000' ciphertext = crypt_sm4.crypt_cbc(iv, plaintext)
三、SM3哈希算法
-
技术特性
- 输出长度:256位
- 抗碰撞强度:2\^{128}
- 符合GM/T 0004标准
-
消息扩展过程: W_t = \\begin{cases} M_t \& 0 \\leq t \\leq 15 \\ P_1(W_{t-16} \\oplus W_{t-9}) \\oplus (W_{t-3} \\ll 15) \\oplus W_{t-13} \& 16 \\leq t \\leq 63 \\end{cases}
-
应用场景
- 数字签名: \\text{Sign} = \\text{SM2_Sign}(\\text{SM3}(Msg), \\text{PrivateKey})
- 证书指纹: \\text{Fingerprint} = \\text{SM3}(\\text{Cert_DER})
四、完整国密通信流程
sequenceDiagram
participant Client
participant Server
Client->>Server: ClientHello (支持GM套件)
Server->>Client: ServerHello (选择GM套件) + SM2证书
Client->>Server: SM2证书验证 + SM2密钥交换
Server->>Client: SM3(握手消息) + SM4加密完成
Note right of Client: 建立SM4加密通道
安全建议:在内网环境中需额外配置:
- 禁用弱密码套件(如RC4、3DES)
- 启用双向证书认证
- 定期轮换SM4密钥(建议每24小时)