基于国密算法SM2SSL证书的https加密,如何实现?
為什么80%的碼農都做不了架構師?>>> ??
如果要在客戶端/網關系統和服務端之間進行SSL加密通信,當客戶端應用(瀏覽器等)發起登錄認證、加密、簽名等請求時,服務端如何實現基于國密算法的SSL加密連接呢?如何解決國密算法的瀏覽器兼容性問題?
?
如何實現基于國密算法的SSL認證和加密
國密SSL協議的握手過程如下:
(1)交換Hello消息來協商密碼套件,交換隨機數,決定是否會話重用;
(2)交換必要的參數,協商預主密鑰
(3)交換證書信息,用于驗證對方
(4)使用預主密鑰和交換的隨機數生成主密鑰
(5)向記錄層提供安全參數
(6)驗證雙方計算的安全參數的一致性、握手過程的真實性和完整性
?
?
?
實現以上握手過程,需要客戶端(瀏覽器)和服務端都支持國密算法。雖然目前SM2/SM3/SM9算法已相繼納入國際標準體系,但要實現客戶端和服務端的廣泛兼容,仍然需要漫長的推進過程。在此期間,通過技術解決方案讓瀏覽器端、服務端都能夠支持國密算法和國密SSL證書,才能推動國密算法普及應用。
?
因此,在服務端實現基于國密算法的SSL認證和HTTPS加密,需要網站運營者向工信部許可的權威電子認證機構(如:沃通CA),申請符合國密標準的國密SSL證書(如: 沃通國密SSL證書),將證書部署在服務器上,并在服務器端編譯國密算法支持模塊(沃通CA提供),然后使用國密瀏覽器(如:密信國密瀏覽器)訪問已部署證書的站點,瀏覽器和服務端就能用國密算法加密傳輸數據了,完整實現國密算法SSL認證和加密的應用。為了確保國密SSL證書的安全性,簽發國密SSL證書的CA機構,還應該提供支持國密算法的CRL/OCSP服務器,用于查詢SSL證書的有效狀態。
?
部署國密SSL證書的站點,如何解決瀏覽器兼容性問題?
使用國密算法SSL證書的站點,在國密瀏覽器上可以正常訪問,但由于國密算法還沒有在所有主流瀏覽器中廣泛兼容,因此一些僅支持國際算法的主流瀏覽器會對國密SSL證書報錯。為了解決這個問題,業內沃通CA首推“雙證書部署”和“自適應瀏覽器兼容”方案,可以同時兼容國密算法瀏覽器和僅支持國際算法的瀏覽器。通過此方案,任何用戶使用任意瀏覽器都能正常訪問網站,滿足部署國密SSL證書的合規需求,同時滿足網站可用性、易用性和全球通用性要求,解決了國密SSL應用的技術障礙。
?
轉載于:https://my.oschina.net/wossl/blog/3029325
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的基于国密算法SM2SSL证书的https加密,如何实现?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Redis的LRU算法
- 下一篇: java.util.concurrent