证签技术和零信技术联合鼎力打造

国密SSL证书自动化管理生态 (SM2 ACME)

SSL证书自动化部署是必然的趋势
部署国密SSL证书是必须的,国密SSL证书自动化部署也是必然的
打造国密SSL证书自动化管理解决方案和生态产品
国密SSL证书自动化管理系统本地化部署

一、SSL证书自动化部署是必然的趋势

根据谷歌证书透明日志系统数据统计,截止到 2023年1月6日,全球有效SSL证书有 7.923亿张,其中只验证域名的DV SSL证书 6.6348亿张,这其中采用ACME协议自动化签发的90天免费DV SSL证书有5.6482亿张,占比85.13%。从这些数据可以看出,用户非常喜欢自动化申请和部署的免费SSL证书,占比已经高达85%。

ACME”是Automated Certificate Management Environment (自动化证书管理环境)的缩写,是一个国际标准-RFC 8555,用于自动化获取SSL证书和自动化部署SSL证书,包括ACME客户端和CA服务端的相关协议标准。目前,全球各大CA都已经纷纷开始支持ACME协议,为用户提供SSL证书自动化管理服务。SSL证书的自动化申请和部署的总量已经达到甚至超过所有SSL证书申请量的70%,可见这是一个必然的趋势,因为用户需要简单易用地实现https加密。

二、部署国密SSL证书是必须的,国密SSL证书自动化部署也是必然的

目前市场上遵循ACME协议提供免费SSL证书的服务提供商提供的SSL证书都是RSA/ECC算法证书,而我国《密码法》要求关键信息基础设施都必须部署国密SSL证书,以应对目前非常不确定的国际环境,确保即使是RSA算法证书被断供或被吊销也不影响重要网站系统的正常加密运行。既然部署国密SSL证书是必须的,那就必须对不支持国密算法的系统实现国密改造,这已经成为了目前信创系统的必须。

但是,由于https加密涉及到SSL证书、浏览器、Web服务器、WAF系统或服务、CDN系统等多个环节和系统,所以,要实现国密HTTPS加密必须是CA系统能签发国密SSL证书,浏览器必须支持国密算法和国密SSL证书,Web服务器支持国密算法和国密SSL证书,WAF设备或云WAF服务、CDN网络系统也必须支持国密算法和国密SSL证书,这就是一个把国际密码体系改造为国产密码体系的生态改造,是一个大工程。现在已经有多家浏览器都支持国密算法和国密SSL证书了,包括完全免费的零信浏览器,也已经有多家CA机构能签发国密SSL证书。但是,Web服务器改造就没有那么容易了,因为Web服务器软件是五花八门,有微软的IIS、IBM的WebSphere、Oracle的WebLogic,还有Apache、Tomcat和Nginx等等,这些Web服务器大多数都是大厂专有软件,根本就没有提供改造的接口!只有开源的Nginx比较方便改造以支持国密算法和国密SSL证书。

也就是说,既然部署国密SSL证书是必须的,但是由于涉及到多个方面系统的国密改造,为了降低各个系统国密改造成本和改造周期,实现国密SSL证书的自动化部署也就是必须的,也一定是必然的。国密SSL证书也应该有像国际SSL证书一样的全自动化部署解决方案,为部署国密https加密提供技术基础支撑。

三、打造国密SSL证书自动化管理解决方案和生态产品

ACME国际标准仅适用于自动化部署国际算法SSL证书,不支持自动化部署国密SSL证书。要实现自动化部署国密SSL证书,仅仅提供一个自动化证书管理环境(ACME)是不够的,需要一个支持国密算法的自动化证书管理生态(SM2 ACME),而不是仅仅自动部署一张SSL证书。这里的E是Ecosystem(生态系统)的第一个字母,而不是Environment(环境)的第一个字母。

证签技术联合零信技术鼎力打造国密SSL证书自动化管理生态,已经成功研发整个生态体系必配的核心产品和系统,如下图所示,包括:

  • 国密ACME服务系统是零信云SSL系统的重要组成部分之一,负责对接国密ACME客户端,为用户签发支持国密证书透明的国密SSL证书和支持国际证书透明的国际SSL证书;
  • 国密ACME客户端,内置国密算法模块,安装在Web服务器中,负责对接国密ACME服务系统自动申请和部署双算法双SSL证书;
  • 国密证书透明日志系统,负责为零信云SSL系统签发的国密SSL证书提供国密证书透明服务;
  • 国密SSL证书和国际SSL证书,双算法,双支持证书透明,用于浏览器自适应加密算法实现https加密;
  • 国密浏览器-零信浏览器,这是目前全球首个支持国密证书透明的免费的国密浏览器,优先采用国密算法实现https加密,兼容ECC/RSA算法;
  • 国密HTTPS加密自动化网关,这是一个集成了国密ACME客户端的用于本地化部署的HTTPS加密和解密卸载硬件网关,使得Web服务器无需安装ACME客户端软件,零改造自动实现国密https加密。
  • 零信国密HTTPS加密自动化云服务,这是一个基于阿里云CDN+WAF打造的零改造自动化配置国密SSL证书和国际SSL证书实现国密https加密的创新云服务,使得用户无需在服务器上安装国密ACME客户端,也无需部署国密HTTPS加密自动化网关,但一样可以零改造自动实现国密https加密、云WAF防护、CDN分发和网站可信认证的四位一体网站安全保护。

这六大国密证书自动化管理生态产品自成体系,形成了一个可以实现全自动国密https加密的应用生态,让用户网站系统和物联网设备系统全自动实现https加密,满足不同用户的国密合规和全球信任的网站安全应用需求。零信技术和证签技术不仅提供生态产品和解决方案,而且开放这个生态系统,方便各种需要SSL证书实现https加密的各个应用提供商接入到这个生态,快速实现自动化部署国密SSL证书和国际SSL证书,实现自适应算法加密,支持所有浏览器和所有设备实现https加密。

下图为整个国密SSL证书自动化管理应用生态的各个产品的连接示意图,由零信云SSL系统和国密ACME服务系统为用户网站上安装的国密ACME客户端提供云端证书申请、证书签发和证书吊销服务,用户网站将由国密ACME客户端自动部署双算法双SSL证书实现自适应算法https加密。下图的左边部分为国密https加密系统,网站访问者使用国密浏览器访问网站,则使用国密算法实现国密https加密,零信浏览器会显示加密锁标识 和国密加密标识 。而国密CRL服务为国密SSL证书提供国密证书吊销查询服务,国密证书透明日志系统为国密SSL证书提供国密证书透明服务。下图的右边部分为国际算法https加密系统,网站访问者使用非国密浏览器(如谷歌浏览器)访问网站,则使用ECC算法实现https加密,谷歌浏览器会显示加密锁标识 。同时,国际CRL服务为国际SSL证书提供国际证书吊销查询服务,国际证书透明日志系统为国际SSL证书提供国际证书透明服务。

1.零信云SSL系统和国密ACME服务系统

零信云SSL系统负责对接国密ACME服务系统,为最终用户同时签发国密SSL证书和国际SSL证书。而国密ACME服务系统则负责对接国密ACME客户端,接受来自ACME客户端的身份鉴证、证书申请和证书吊销申请,同时负责把零信云SSL系统在完成域名验证后签发的双SSL证书下发给国密ACME客户端,ACME客户端就可以在Web服务器上自动化部署收到的双算法SSL证书了。

请注意:国密ACME服务系统并不只是签发国密SSL证书。ACME服务端接受到来自ACME客户端的SSL证书申请后,会默认同时签发3张SSL证书给ACME客户端,一张ECC算法SSL证书,一张国密签名SSL证书和一张国密加密SSL证书,并非只给用户国密SSL证书,3张SSL证书用于国密ACME客户端自动化部署双算法SSL证书,实现自适应加密算法https加密,满足用户的国密合规和全球信任应用需求。

2.国密证书透明日志系统

零信国密证书透明日志系统负责为零信云SSL系统在签发国密SSL证书时提供国密证书透明日志服务,把提交的预签国密SSL证书的证书透明日志签名数据(SCT)返回给零信云SSL系统,零信云SSL系统把SCT数据嵌入到国密SSL证书中就可以交付给国密ACME服务系统。

零信云SSL系统会同时通过Sectigo CA系统把预签RSA/ECC SSL证书提交到谷歌信任的国际证书透明日志系统中获得国际SSL证书的证书透明日志签名数据,满足国际SSL证书必须内嵌国际SCT数据的要求,并把签发的国际SSL证书连同国密SSL证书一起交付给国密ACME服务系统。

3.国密证书吊销列表服务和国际证书吊销列表服务

零信国密证书吊销列表服务系统为零信云SSL系统签发的国密SSL证书提供证书吊销查询服务。如果国密ACME服务系统收到来自国密ACME客户端的证书吊销申请,则在完成合法验证后把吊销请求提交给零信云SSL系统,零信云SSL系统重签吊销列表后发布到零信国密证书吊销列表服务系统中生效。由于交付给用户的都是双证书,则吊销证书申请会同时吊销RSA/ECC证书,并发布到国际证书吊销列表系统中。

4.国密ACME客户端—SM2cerBot

参考ACME国际标准设计,不仅实现了全自动化申请国密SSL证书和国际SSL证书,而且集成了国密算法支持模块,让用户一键实现证书申请、证书部署和国密算法支持,一旦证书安装成功,则一直守候确把系统工作正常,并且会提前3天自动完成证书到期续期,以确保网站的不间断的https加密,保障业务系统的持续可靠运行,不会发生由于人工疏忽而未续期已经到期的证书而造成的业务中断风险。

请注意:国密ACME客户端并不只是负责申请和部署国密SSL证书。ACME客户端会同时提交国密SSL证书和国际SSL证书到ACME服务端,收到已经签发的国密SSL证书和国际SSL证书后会同时部署三张SSL证书,一张ECC算法SSL证书,一张国密签名SSL证书和一张国密加密SSL证书,并非只部署国密SSL证书,3张SSL证书用于自适应加密算法实现https加密,满足用户的国密合规和全球信任应用需求。

5.国密浏览器—零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的国密浏览器,用户在成功安装国密ACME客户端并完成自动化证书部署后,强烈推荐 下载 和使用零信浏览器来验证双SSL证书部署效果,零信浏览器一定会采用国密算法实现https加密。同时推荐用户用其他浏览器访问对比实施效果,不支持国密算法和国密证书透明的其他浏览器只能用国际算法来实现https加密。

推荐用户选购证签OV SSL证书或EV SSL证书,或选购零信国密HTTPS加密自动化云服务,则零信浏览器地址栏会显示为绿色地址栏,增强在线信任,促成更多在线订单。

6.国密HTTPS加密自动化网关

零信国密HTTPS加密自动化网关是一个支持国密ACME服务的自动化配置双SSL证书实现https加密的https安全网关,使得用户可以零改造实现国密https加密,并兼容国际算法https加密。极高的https加密响应和快速卸载性能不仅可以无需改造现有Web服务器,无需在现有Web服务器上安装SSL证书,而且大大减轻了现有Web服务器的http负担和承担了所有https加密负担,使得现有Web服务器可以更好地专用于服务好业务系统,使得业务系统运行更流畅。

零信国密HTTPS加密自动化网关内置ACME客户端,自动连接零信云SSL系统完成双SSL证书申请和自动配置使用,大大减轻了IT管理员的工作负担,也彻底避免了由于忘了续期SSL证书而造成的业务中断。零信国密HTTPS加密自动化网关,一劳永逸地、高性能地、永不间断地为Web网站系统提供高速https加密服务,自适应加密算法,满足用户国密合规、等保合规和全球信任的应用需求。

四、国密SSL证书自动化管理系统本地化部署

国密SSL证书自动化管理系统,不仅可以解决单个网站的国密SSL证书和国际SSL证书的自动化管理问题,而且特别适合于有大量服务器需要部署SSL证书的单位和互联网公司,特别是各省市的政务云平台,有上千甚至上万个网站系统需要部署SSL证书,特别是需要部署国密SSL证书,满足国密合规要求。

政务云平台、大型企业的公有云和私有云平台,如何在不影响现有系统的正常运行的前提下,零改造为上千和上万的网站自动化部署双SSL证书,自动化实现自适应加密算法的https加密,则需要在云平台本地部署一套国密SSL证书自动化管理系统,并根据云平台的具体要求定制开发一些配套系统,就可以实现全自动化的、零改造的、零维护的、零影响的、无缝的从http切换到https,实现所有网站系统的国密合规和全球信任的https加密。

点击 这里 了解详情,欢迎对本地化部署实现自动化管理SSL证书有兴趣的单位 联系我们 (0755 - 2660 4080 ) 为您定制实施方案。