1 背景

国密SSL协议使用双证书体系。本文描述了国密双证书体系的组成和差别,并描述了在U盾里面的使用情况。

2 国密SSL双证书

国密SSL协议使用双证书体系,分别称为签名证书和加密证书,服务器和用户持有两对SM2独立的密钥对。其中加密证书和签名证书主要的区别就是密钥用法(KeyUsage)不一样(当然对应的密钥等也不一样),使用相同的DN。密钥用法具体是:

签名证书:Digital Signature, Non-Repudiation (c0)

加密证书:Key Encipherment, Data Encipherment, Key Agreement (38)

3 国密SSL加密证书的颁发流程

国密CA体系里面,加密密钥对是在CA端产生的,和通常的签名证书流程不一样(签名密钥对通常是用户自己产生的,发送证书请求给CA来申请证书)。

那用户怎么安全获得加密证书和私钥呢?国密规范规定,加密私钥需要通过数字信封使用用户的签名公钥加密。CA将加密私钥密文返回给用户,用户因为有对应的签名私钥,因此只有该用户才可以解开密文,获得加密私钥。过程如下:

1)用户使用U盾产生签名密钥对,生成签名证书请求,发送签名证书请求给CA;

2)CA审核生成签名证书,产生加密密钥对,生成加密证书;

3)CA生成对称密钥,使用用户签名公钥加密,输出对称密钥密文;

4)CA使用对称密钥,加密用户加密私钥,输出加密私钥密文;

5)CA返回给用户签名证书、加密证书、对称密钥密文和加密私钥密文;

6)用户导入对称密钥密文,使用U盾内部签名私钥解密,获得对称密钥句柄;

7)用户使用对称密钥句柄解密加密私钥,获得加密私钥明文。

用户使用SKF(U盾)接口时,6)和7)以及导入加密证书时,使用一个API一步完成的,所述过程是在U盾内部的处理。

4 国密U盾伴侣

目前大部分国密U盾的管理工具,并不支持国密证书请求产生和国密证书应答导入。www.GMSSL.cn提供一个《国密U盾辅助工具》,支持国密生成证书请求/导入证书应答操作。目前支持龙脉科技的mToken GM3000。

下载请参见https://www.gmssl.cn/gmssl/index.jsp?go=ukey

1)生成证书请求

2)提交签名证书请求给https://www.gmssl.cn/gmssl/index.jsp?go=ca

3)www.gmssl.cn生成签名证书/加密证书/加密私钥密文

4)导入证书应答

5 国密测试CA

www.GMSSL.cn提供一个国密测试CA。通过国密CA,配合国密U盾伴侣,可以给用户生成国密双证书,然后可以通过国密浏览器,就使用证书登录国密双向认证的网站了。

CA参见https://www.gmssl.cn/gmssl/index.jsp?go=ca

国密SSL协议之双证书体系相关推荐

  1. 什么是国密SSL协议?国密证书与传统SSL证书有什么区别?

    你知道什么是国密SSL协议吗?很多人听说过SSL证书.SSL协议,但是国密SSL协议却是第一次听说.一起来看看什么是国密SSL协议,以及国密证书与传统SSL证书有什么区别? 什么是国密SSL协议?国密 ...

  2. nginx服务器配置ssl协议,国密SSL协议之Nginx集成

    1 背景 Nginx自身支持标准的SSL协议,但并不支持国密SSL协议.本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用. 特点:Nginx 无需改动源码.支持任意版本. ...

  3. 国密浏览器如何完成SM2国密SSL协议协商

    国密浏览器需要遵循国密SSL协议规范GM/T 0024-2014.GM/T 0024-2014没有单独规范 SSL协议的文件,而是在SSL VPN技术规范中定义了国密SSL协议.国密SSL协议(SSL ...

  4. gmcurl,支持国密SSL的的curl

    gmcurl,支持国密SSL的的curl 1.curl是什么 cURL(客户端URL)是一个开放源代码的命令行工具,用来请求 Web和其他各种类型的服务器.curl有着大量的参数,常用来测试/调试服务 ...

  5. 国密SSL通信协议详细介绍与抓包分析

    最近研究有关SSL协议的物联网安全协议,看了很多资料并且结合TASSL在ubuntu上跑了一个简单的demo,因此有了一些自己的理解,那么就详细讲解一下我所知道的SSL,相信这一篇文章就可以让你全面了 ...

  6. 国密SSL证书正式上线,知道创宇云防御助力金融和重要领域完成国密升级改造...

    ★ 在网络社会化.社会网络化的今天,网络空间正在加速演变为各国国家安全的新战场,密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,直接关系国家政治安全.经济安全.国防安全和信息安全,也是国家 ...

  7. 国密SSL证书申请免费试用

    沃通提供国密SSL证书免费申请试用服务,一次申请可同时签发SM2/RSA双算法证书,试用周期1个月,用于测试国密SM2 SSL证书的运行效果和SM2/RSA双证书部署效果. 试用产品:SM2/RSA双 ...

  8. 国密SSL证书上线,沃通CA助力金融等领域完成国密升级改造

    在网络社会化.社会网络化的今天,网络空间正在加速演变为各国国家安全的新战场,密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,直接关系国家政治安全.经济安全.国防安全,也是国家实现安全可控体 ...

  9. linux如何配浏览器证书,部署国密SSL证书,如何兼容国际主流浏览器?

    转自: 国密算法在主流操作系统.浏览器等客户端中,还没有实现广泛兼容.因此,在面向开放互联网的产品应用中,国密算法无法得到广泛应用.比如,在SSL证书应用领域,由于国际主流浏览器不信任国密算法,如果服 ...

最新文章

  1. 纯CSS3实现宽屏二级下拉菜单
  2. NVIDIA显示下载Java_大佬们!我的NVIDIA Geforce Experience 一直下载更新怎么办?
  3. vue 新版本 webpack 代理 跨域设置
  4. LeetCode 2068. 检查两个字符串是否几乎相等
  5. 关于def __init__():
  6. latex 基本用法
  7. 把我的漫画浏览器后台程序迁移到GAE上了
  8. 以太坊 智能合约IDE 在线 Solidity IDE
  9. wireshark的拆包与合并
  10. 如何解决硬盘固件区损坏?只要学会这几步
  11. 注意:QQ空间加密并不安全
  12. C语言switch语句的加减乘除
  13. 莫言领取诺贝尔文学奖演讲稿(中英文)----讲故事的人
  14. 牛客网第二场I--car(简单图论)
  15. 逻辑漏洞之密码找回漏洞(semcms)
  16. php 计算工资,php计算税后工资的方法_PHP
  17. 原理这就是索引下推呀
  18. python人工智能入门书籍推荐-了解、学习人工智能必看的十本书
  19. 埃氏筛与欧拉筛(线性筛)
  20. 海门开发区机器人项目_江苏海门机器人特色小镇5年销售规模或破百亿

热门文章

  1. USB转串口芯片 FT232RL/CH9101/PL2303/CY7C65213同类型芯片参数对比
  2. Node.js 的安装(电脑win7支持的版本)
  3. qq群排名霸屏技巧排名推广
  4. 酒仙网将上市:营销促营收增长,深陷纠纷案,部分股权被法院冻结
  5. AFNetworking 使用说明
  6. 得到经纬度数据使用Plotly画世界地图(美赛心得)
  7. 晶圆在低温探针台中的安装方式——Cyanoacrylate粘合剂
  8. CCCC 天梯赛 PTA ZOJ 题目 L1 L2 L3
  9. 老司机 iOS 周报 #66 | 2019-05-06
  10. Environment.SpecialFolder的值的含义(本地打印)