国密SSL

更新时间:2022-05-10 14:56:35

国密SSL配置指引

本文将为您介绍如何快速配置接入全站加速国密GMSSL安全加速服务,便于您快速上手,实现国产密码网络安全加速保护。

当您初次使用国密SSL安全加速服务时,您主要需执行如下3个操作步骤以实现国密加速。

步骤1:开通国密加速服务

您需已开通国密安全加速服务。若您尚未开通服务,请先联系网宿商务开通国密GMSSL安全加速服务。

步骤2:域名配置国密证书

用户请求使用国密GMSSL安全传输时,需要使用国密SM2签名证书和加密证书进行加解密。因此,在您配置开启国密通道前,您需先上传国密证书,并执行国密证书关联域名操作。以下为您介绍如何在网宿统一控制台配置国密证书。

2.1 上传国密证书

  1. 进入1控制台。进入证书管理控制台,选择【我的证书】菜单,点击【上传证书】。
    网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

2.上传证书。进入上传证书表单页后,开始填写上传国密证书表单,其中:

  • 证书类型:选择“国密证书”。此处,国际通用HTTPS传输使用RSA/ECC加密类型的国际证书,而国密GMSSL传输使用中国国产密码算法SM2加密类型的国密证书(注:若您无法选择“国密证书”,请先申请控制台上传国密证书功能权限(策略名称:WSUpload_SM2_Certificate)。

  • 证书上传方式:目前提供“从证书文件导入”和“黏贴证书内容”2种方式上传国密证书,您可选择便于您操作的方式进行证书上传。

  • 签名证书和加密证书:一本国密证书包含了一份SM2签名证书和一份SM2加密证书,签名证书和加密证书必须成套出现。因此,在上传国密证书时,需要同时上传国密签名证书和国密加密证书。

  • 证书名称:您可以自定义填写便于记忆的国密签名证书名称。例如:www.wangsu.con_sm2_sign。

  • 证书文件上传:当您选择“证书上传方式”为“从证书文件导入”时,您可直接上传证书文件,此时您需要上传的证书文件包含证书内容文件、证书CA文件、证书私钥文件(例如www.wangsu.com_sm2_sign.crt、www.wangsu.com_sm2_sign.ca、www.wangsu.com_sm2_sign.key三个文件),其中,部分国密证书厂商会将证书CA文件信息放在证书内容文件里面,此时您无需再对证书内容文件做拆分,直接上传证书内容文件和证书私钥文件即可(例如www.wangsu.com_sm2_sign.crt、www.wangsu.com_sm2_sign.key两个文件)。目前支持上传的证书文件格式:.pem,.key,.crt,.cer,.der,.pfx,.jks。

  • 证书内容/私钥内容/CA内容:当您选择“证书上传方式”为“黏贴证书内容”时,您需将证书文件内容分别复制到文本框中进行上传,此时您需要黏贴的证书内容包含证书内容、证书CA内容、证书私钥内容,其中,部分国密证书厂商会将证书CA内放在证书内容里面,此时您无需再对分开复制证书内容,直接复制证书内容和证书私钥即可。目前支持黏贴的内容格式仅支持pem编码。
    网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

3.证书解析。上传证书信息填写完成后,点击“下一步”按钮,进行证书解析。您可根据系统解析出的信息进行证书信息的确认。确认完成后点击“提交”按钮,完成证书上传提交。证书提交成功后,系统将为您自动跳转回我的证书列表,您可在列表中查看并管理成功上传的证书。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

2.2 国密证书关联域名

1.选择证书。证书上传完成后,您可在我的证书列表选择您的域名要关联的证书。此处,您需选择“授权域名”包含您想关联的域名的证书。例如,您想关联的域名是www.wangsu.com,则您需在我的证书列表下选择“授权域名”包含www.wangsu.com,并且“证书类型”为SM2签名证书/SM2加密证书的记录。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

2.关联域名。找到您要关联域名的证书后,点击证书列表“操作”列下的“关联域名”按钮,开始进行证书关联域名操作。在可选列表中选择您要关联的域名后,点击“下一步”。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

3.证书关联域名确认。国密证书的签名证书和加密证书必须同时关联到域名上:当您选择关联签名证书时,系统会自动为您获取与该签名证书配套的加密证书;同理,当您选择关联加密证书时,系统会自动为您获取与该加密证书配套的签名证书。您需对需要关联的国密签名证书和国密加密证书进行确认,确认无误后点击“直接部署”,即可完成证书关联域名操作。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

4.查看证书域名关联关系。证书关联域名完成后,您可在我的证书列表页下查看证书和域名的关联关系。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

步骤3:开启国密传输通道

在完成域名的国密证书配置后,您可开启国密通道,以支持请求国密GMSSL安全加速。以下为您介绍如何在网宿统一控制台配置开启国密SSL加速通道。

1.进入菜单。进入您需要配置国密的域名所在产品控制台,点击产品控制台【域名管理】菜单。
2.进入配置表单。找到您要配置开启国密的域名,通过以下2种方式中的任一方式进入配置修改表单页:1)点击所选域名操作列下的编辑图标;2)勾选所选域名后,点选“配置修改”按钮。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

3.在左侧配置项列表中查找并点击【HTTP协议优化】【国密SSL】,此时您可以看到国密SSL模块配置信息。注:若您查找不到配置信息,请先申请控制台国密功能配置权限(策略名称:WSUpload_SM2_Certificate)。
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

4、点击国密SSL配置模块上的“修改”按钮,在弹窗表单里面进行配置,修改完成后点击“确认”按钮完成配置提交。配置图示及说明如下:
网宿安全亮相全球顶级网络安全峰会,纵深防御赋能数据安全

配置项 配置说明
国密访问通道 开启国密访问通道后,将支持客户端和网宿节点使用国密SSL进行数据传输。默认为关闭。功能开启前,请先上传国密证书并关联域名。
国密回源通道 配置网宿节点是否使用国密SSL回源。您可以根据您的源站对国密的支持情况配置回源协议类型。支持按照区域运营商节点生效。未配置勾选的区域运营商则默认按照国际协议回源。您可点击列表做下方的“新增”按钮来添加配置回源协议通道。
1)回源协议类型
  • 国际:网宿节点回源请求全部转成国际协议回源,即网宿节点使用国际通用SSL协议与您的源站进行交互。若您的源站不支持国密,请配置此选项。
  • 国密:网宿节点回源请求全部转成国密协议回源,即网宿节点使用国密SSL协议与您的源站进行交互。若您的源站已支持国密,可配置此选项。
  • 同客户端请求协议:网宿节点回源请求与客户端发送到网宿节点的请求协议类型一致。若您的源站已支持国密,可配置此选项。
    2)区域运营商
  • 中国大陆区域:支持配置到省份运营商粒度生效。
  • 海外/中国港澳台区域:支持配置到国家/区域粒度生效。
    3)操作
  • 点击“删除”可删除对应的回源协议类型通道记录。
  • 5、部署配置。配置提交后,回到配置修改表单页,点击页面下方的“下一步”按钮,进行配置变更确认,确认无误后您可以根据需要进行预部署测试或者直接部署到线上环境。

    到这里,您即成功配置开启国密通道。如需更多更灵活的配置支持,您可以联系技术支持为您在后台进行操作。

    本篇文档内容对您是否有帮助?
    有帮助
    没帮助
    提交成功!非常感谢您的反馈,我们会继续努力做到更好!