logo

国密ACME常见问题问答(FAQ)

如果这些FAQ中没有您想问的问题,请发邮件给我们:mail。如果您在使用过程中发现任何Bug,请发邮件给我们:mail, 谢谢!

  • 1.国密ACME客户端只能申请国密SSL证书吗?

    当然不是!SM2cerBot会自动化申请国密SM2 SSL证书和国际ECC SSL证书,双算法三张SSL证书自动化完成申请和自动化部署。零信浏览器会采用国密算法实现https加密,其他浏览器使用ECC算法实现https加密。

  • 2.SM2cerBot同Certbot有什么不同?

    Certbot是ACME标准的起草单位之一的EFF提供的免费的ACME客户端,也是Let’s Encrypt推荐的ACME客户端。但是,无法用于申请和部署国密SSL证书。SM2cerBot则是一个免费的国密ACME客户端,用于自动化申请和部署国密SSL证书和国际SSL证书,双算法三证书同时部署,实现自适应加密算法的https加密。SM2cerBot不仅负责自动化申请和部署SSL证书,还负责改造web服务器支持国密算法实现国密https加密。

  • 3.为何SM2cerBot在安装时会卸载服务器上已经安装的Nginx再安装Nginx?

    这就是要改造Nginx支持国密算法和国密SSL证书,原先的Nginx必须卸载重新安装改造过的新的Nginx,一键实现安装ACME客户端和国密算法支持模块。请在安装SM2cerBot之前先备份好原Nginx的配置文件,以便重新安装新的Nginx后可能需要原先的网站配置参数。

  • 4.为何我安装了SM2cerBot,但是为何提示Nginx服务和/或SM2ACME服务未启动?

    如果提示Nginx服务未启动,请使用命令:systemctl start nginx 重启服务。

    如果提示SM2ACME服务未启动,请使用命令:systemctl start zotrus_sm2acme 重启服务。

    如果还是起不来,则可能是操作系统适配有问题,请把详细的详细日志发邮件到 bug mail,谢谢。

  • 5.为何SM2cerBot不能像Certbot一样在输入网站域名后稍等就能完成证书部署?

    SM2cerBot的任务是要申请三张SSL证书,其中ECC SSL证书由Sectigo从定制的ZoTrus ECC中级根证书签发,国密签名SSL证书和加密SSL证书则从证签(CerSign)国密CA系统签发,需用经过两套不同的系统的处理和签发证书。所以,一旦下单成功则提示订单号,用户无需等待,SM2cerBot会尽快完成证书申请和部署的。一般情况下1-3分钟就可以完成,但有时可能时间更长。用户可以再次运行程序,按3查询证书部署状态,只要证书还没有签发,系统会不断尝试,24小时后证书还未签发,则不再尝试,设置此订单状态为Failed(失败)。

  • 6.我输入网站域名后何时知道证书已经部署成功?

    一般情况下1-3分钟就可以完成,但有时可能时间更长。请重新运行SM2cerBot,再按3查询证书部署状态。如果24小时后证书还未签发,请重新下单。在此之前请勿重复下单,以免影响达到速率限制条件。

  • 7.为何我填写的域名是www.mydomain.com, 签发的证书没有同时绑定mydomain.com域名?

    ACME服务采取的域名验证方式是网站验证,按照国际标准,网站验证只能是验证什么域名就签发什么域名证书,不会同时绑定没有验证的域名。传统方式申请SSL证书时的www域名绑定无www的根域名是因为您申请在线证书时使用的验证方式是邮箱验证或者CNAME验证。

    请在输入网站域名时,如果需要证书绑定根域名,请一定也要同时输入,并把这两个域名都解析到这台服务器的IP地址上可以访问,这样采用签发绑定两个域名的SSL证书。

  • 8.SM2cerBot自动配置的多域证书最多支持多少个域名?

    国密ACME服务支持多域证书,在公测期间最多只允许申请20个域名的SSL证书,将逐渐增加域名数量。请注意:不推荐一张证书绑定太多的域名,因为含有太多的域名的证书会导致证书文件很大,不仅影响会拖慢用户访问网站的速度,而且会浪费您的网站的流量和浪费用户的手机流量。请参考文章《多域SSL证书一定会退出历史舞台》。

  • 9.SM2cerBot仅支持Linux? 有计划支持Windows Server?

    是的,目前只支持Linux,主要是因为Nginx需要进行国密改造以支持国密算法和国密SSL证书。将来如果提供Windows Server版本也会基于Nginx Windows Server版本改造。

  • 10.我的网站目前用的不是Nginx,能使用SM2cerBot?

    当然可以,安装后只需把Nginx设置为代理转发到您的原网站即可。

  • 11.安装SM2cerBot之前需要在证签官网注册账户?

    不需要。SM2cerBot会自动注册一个证签帐户用于证书管理。请注意:每个IP地址8小时内最多只能注册10个帐户,大型机构建议使用一个帐户为多个用户网站提供自动化证书服务。

    如果您需要选购证签收费SSL证书,则需要把SM2cerBot帐户同在证签官网注册的帐户绑定,这样在证签官网购买的SSL证书只需完成付款,并把订单Token填写在SM2cerBot配置文件中即可全自动申请和部署各种收费的一年期SSL证书。

  • 12.我可以修改证书配置成功的Nginx的配置文件?

    可以。但是,请勿修改证书文件配置部分。建议您在安装SM2cerBot之前备份好原网站的配置文件,待SSL证书自动配置成功后再修改配置文件,以满足您的网站的Web配置需求。

  • 13.如何检查国密SSL证书是否已经自动部署好?

    您随时可以通过运行国密ACME客户端软件-SM2cerBot,按3查询证书部署状态,如果提示“Finished”,则表示已经部署成功。请使用零信浏览器访问,看看是否自动使用https方式访问,并在地址栏显示国密加密标识( ),如果显示,则表示国密SSL证书已经部署成功,零信浏览器优先采用国密算法实现https加密。如果您使用其他浏览器,不能显示是国密加密或提示“不安全”或“不可信”之类的信息,说明这个浏览器不支持国密算法或者不支持国密证书透明,请改用零信浏览器。点击 这里 免费下载使用零信浏览器。

  • 14.如何检查国际SSL证书是否已经自动部署好?

    您随时可以通过再次允许国密ACME客户端软件-SM2cerBot,按3查询证书部署状态,如果提示“Finished”,则表示已经部署成功。您可以使用任何其他浏览器来访问,看看浏览器地址栏是否能显示加密锁标识,能就表示证书部署成功。建议再查看一下证书算法,一定是ECC算法。