乐趣区

关于https:国密SSL协议之双证书体系

背景

国密 SSL 协定应用双证书体系。本文形容了国密双证书体系的组成和差异,并形容了在 U 盾外面的应用状况。

国密 SSL 双证书

  国密 SSL 协定应用双证书体系,别离称为签名证书和加密证书,服务器和用户持有两对 SM2 独立的密钥对。其中加密证书和签名证书次要的区别就是密钥用法 (KeyUsage) 不一样(当然对应的密钥等也不一样),应用雷同的 DN。密钥用法具体是:

签名证书:Digital Signature, Non-Repudiation (c0)

加密证书:Key Encipherment, Data Encipherment, Key Agreement (38)

国密 SSL 加密证书的颁发流程

  国密 CA 体系外面,加密密钥对是在 CA 端产生的,和通常的签名证书流程不一样(签名密钥对通常是用户本人产生的,发送证书申请给 CA 来申请证书)。
  那用户怎么平安取得加密证书和私钥呢?国密标准规定,加密私钥须要通过数字信封应用用户的签名公钥加密。CA 将加密私钥密文返回给用户,用户因为有对应的签名私钥,因而只有该用户才能够解开密文,取得加密私钥。过程如下:
  1)用户应用 U 盾产生签名密钥对,生成签名证书申请,发送签名证书申请给 CA;
  2)CA 审核生成签名证书,产生加密密钥对,生成加密证书;
  3)CA 生成对称密钥,应用用户签名公钥加密,输入对称密钥密文;
  4)CA 应用对称密钥,加密用户加密私钥,输入加密私钥密文;
  5)CA 返回给用户签名证书、加密证书、对称密钥密文和加密私钥密文;
  6)用户导入对称密钥密文,应用 U 盾外部签名私钥解密,取得对称密钥句柄;
  7)用户应用对称密钥句柄解密加密私钥,取得加密私钥明文。
  用户应用 SKF(U 盾)接口时,6)和 7)以及导入加密证书时,应用一个 API 一步实现的,所述过程是在 U 盾外部的解决。

国密 U 盾伴侣

  目前大部分国密 U 盾的管理工具,并不反对国密证书申请产生和国密证书应答导入。www.GMSSL.cn 提供一个《国密 U 盾辅助工具》,反对国密生成证书申请 / 导入证书应答操作。目前反对龙脉科技的 mToken GM3000。
下载请参见 https://www.gmssl.cn/gmssl/in…
1)生成证书申请

2)提交签名证书申请给 https://www.gmssl.cn/gmssl/in…
3)www.gmssl.cn 生成签名证书 / 加密证书 / 加密私钥密文
4)导入证书应答

国密测试 CA

  www.GMSSL.cn 提供一个国密测试 CA。通过国密 CA,配合国密 U 盾伴侣,能够给用户生成国密双证书,而后能够通过国密浏览器,就应用证书登录国密双向认证的网站了。
CA 参见 https://www.gmssl.cn/gmssl/in…

退出移动版