![]()
一、前提条件
- 已申请具备国密资质(SM2/SM3/SM4)的 SSL 证书,且通过国家密码管理局认证。
- 域名已解析至服务器,完成 ICP 备案(内地服务器)。
- 服务器开放 443 端口,安全组放行 443 端口入站规则。
- 服务器支持国密算法:Nginx 需安装国密补丁 / TASSL 模块,或使用国产 OS 自带国密套件阿里云帮助中心。
二、华为云国密 SSL 证书部署(Nginx + 云产品)
(一)证书申请与获取(云证书管理服务 CCM)
- 登录华为云 CCM 控制台,选择 “国密证书”,填写域名、企业信息,选择 SM2 算法,提交申请华为云。
- 完成域名 / 企业身份核验,证书签发后,在 CCM 控制台下载证书包(含签名证书、加密证书、签名私钥、加密私钥)华为云。
(二)Nginx 服务器部署
- 环境适配(安装国密模块)
bash
运行
# 安装依赖 yum install -y gcc openssl-devel pcre-devel zlib-devel # 下载国密补丁版Nginx或TASSL wget https://example.com/nginx-sm2.tar.gz(替换为实际国密Nginx包地址) tar -zxvf nginx-sm2.tar.gz && cd nginx-sm2 # 编译安装,启用国密算法 ./configure --with-http_ssl_module --with-stream_ssl_module --with-openssl=./tassl make && make install - 证书上传与配置
- 将证书文件(签名证书.crt、加密证书.crt、签名私钥.key、加密私钥.key)上传至服务器
/etc/nginx/ssl目录华为云。 - 修改 Nginx 配置文件(
/etc/nginx/nginx.conf),添加国密 server 块:
nginx
server { listen 443 ssl; server_name yourdomain.com; # 替换为实际域名 # 国密证书配置 ssl_certificate /etc/nginx/ssl/sign.crt; ssl_certificate_key /etc/nginx/ssl/sign.key; ssl_enc_certificate /etc/nginx/ssl/enc.crt; ssl_enc_certificate_key /etc/nginx/ssl/enc.key; # 国密算法套件 ssl_ciphers ECDHE-SM2-WITH-SM4-SM3; ssl_protocols TLSv1.2 TLSv1.3; # HTTP跳转HTTPS if ($scheme = http) { return 301 https://$host$request_uri; } # 其他配置... } - 将证书文件(签名证书.crt、加密证书.crt、签名私钥.key、加密私钥.key)上传至服务器
- 服务重启与验证
bash
运行
nginx -t # 检查配置 nginx -s reload # 重启服务- 使用国密浏览器(如 360 国密版)访问
https://yourdomain.com,显示安全锁即成功。
- 使用国密浏览器(如 360 国密版)访问
(三)华为云产品快速部署(CDN/WAF)
- CDN 部署
- 登录华为云 CDN 控制台,进入域名管理,选择目标域名,点击 “HTTPS 配置”华为云。
- 证书标准选 “国密(SM)”,来源选 “自有证书” 或 “SCM 证书”,粘贴签名证书、加密证书及对应私钥内容,提交保存华为云。
- WAF 部署
- 进入 WAF 控制台,选择 “对象管理> 证书管理”,点击 “添加证书”,类型选 “国密证书”华为云。
- 输入证书名称,依次粘贴签名证书、签名私钥、加密证书、加密私钥,完成上传华为云。
