华为云国密SSL证书部署与Nginx/Tomcat配置实战

1. 国密SSL证书与华为云部署背景

国密算法是我国自主研发的密码算法体系，包括SM2（非对称加密）、SM3（哈希算法）、SM4（对称加密）等核心算法。随着网络安全法的实施，国密算法在金融、政务、电信等关键领域得到广泛应用。华为云作为国内领先的云服务提供商，其国密SSL证书服务支持SM2算法与国际标准RSA算法的双证书部署模式。

在实际业务场景中，国密SSL证书部署主要面临三个技术挑战：浏览器兼容性处理、证书链配置规范、以及国密算法与现有系统的适配。华为云控制台提供了完整的证书管理界面，但具体到Nginx/Tomcat等中间件的配置细节，仍需要结合国密标准进行特殊处理。

2. 证书申请与准备阶段

2.1 华为云证书申请流程

登录华为云控制台后，在"安全与合规 > 云证书管理服务"中创建国密SSL证书申请。关键参数包括：

• 证书类型：选择"国密标准(SM2)"
• 域名验证方式：推荐DNS验证（需在域名解析中添加TXT记录）
• 企业认证材料：需准备营业执照及联系人信息

证书签发通常需要1-3个工作日，期间需保持域名解析可访问状态。华为云会通过邮件通知审核结果，签发后的证书包含以下文件：

• 服务器证书（.pem格式）
• 国密私钥（.key格式）
• 中级CA证书（.cer格式）

2.2 证书格式转换处理

由于国密算法的特殊性，部分Web服务器需要特定格式的证书文件。使用OpenSSL工具进行必要转换：

bash复制# 将PEM证书转换为PKCS#12格式（适用于Tomcat）
openssl pkcs12 -export -in server.pem -inkey sm2.key -out server.p12 -name "sm2_cert"

# 生成国密算法专用的加密私钥（密码保护）
openssl ecparam -genkey -name SM2 -out sm2_encrypted.key -aes256

注意：国密私钥需设置强密码保护，建议使用AES-256加密。私钥文件应设置600权限，避免泄露风险。

3. Nginx国密双证书配置实战

3.1 编译支持国密的Nginx

标准版Nginx需重新编译以支持国密算法，推荐使用Tongsuo（原BabaSSL）作为加密库：

bash复制# 安装依赖
yum install -y gcc pcre-devel zlib-devel

# 编译安装
./configure --with-openssl=/path/to/tongsuo \
            --with-http_ssl_module \
            --with-stream \
            --with-stream_ssl_module
make && make install

验证模块加载情况：

bash复制nginx -V | grep -i sm2

3.2 服务器配置示例

在nginx.conf中配置双证书策略，同时兼容国密和国际算法：

nginx复制server {
    listen 443 ssl;
    listen 443 quic reuseport;  # 启用QUIC协议
    server_name example.com;

    # 国际标准RSA证书
    ssl_certificate /etc/nginx/certs/rsa.pem;
    ssl_certificate_key /etc/nginx/certs/rsa.key;

    # 国密SM2证书
    ssl_certificate /etc/nginx/certs/sm2.pem;
    ssl_certificate_key /etc/nginx/certs/sm2.key;

    # 协议与算法配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "TLS_SM4_GCM_SM3:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256";
    ssl_prefer_server_ciphers on;

    # 国密特有参数
    ssl_ecdh_curve SM2;
    ssl_signature_schemes sm2sig_sm3;
}

关键参数说明：

• TLS_SM4_GCM_SM3：国密算法套件标识
• ssl_ecdh_curve SM2：指定椭圆曲线为SM2
• 双证书配置时，浏览器会根据自身支持情况自动选择

4. Tomcat国密证书部署指南

4.1 修改server.xml配置

在Tomcat的conf/server.xml中调整Connector配置：

xml复制<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="/path/to/server.p12"
                     certificateKeystorePassword="changeit"
                     certificateKeystoreType="PKCS12"
                     type="SM2" />
    </SSLHostConfig>
    <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
</Connector>

4.2 JVM参数调优

在catalina.sh中添加JVM参数，启用国密算法支持：

bash复制JAVA_OPTS="$JAVA_OPTS -Dcom.sun.net.ssl.enableECC=true"
JAVA_OPTS="$JAVA_OPTS -Djdk.tls.namedGroups=sm2p256v1"
JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2,TLSv1.3"

5. 常见问题排查与优化

5.1 浏览器兼容性处理

国密证书在Chrome/Firefox等国际浏览器中可能显示警告，解决方案：

1. 部署双证书体系，自动适配浏览器能力
2. 引导用户安装国密浏览器（如密信浏览器）
3. 在页面添加国密支持检测脚本：

javascript复制function checkSMSupport() {
    const hasSM = window.crypto && 
                 (crypto.subtle.digest.name.includes('SM3') || 
                  crypto.subtle.encrypt.name.includes('SM4'));
    if(!hasSM) showBrowserAlert();
}

5.2 性能优化建议

国密算法计算开销较高，建议采取以下优化措施：

• 启用TLS 1.3的0-RTT模式
• 调整SSL会话缓存时间：

  nginx复制ssl_session_cache shared:SSL:50m;
  ssl_session_timeout 1d;
  

• 开启OCSP Stapling减少验证延迟：

  nginx复制ssl_stapling on;
  ssl_stapling_verify on;
  resolver 8.8.8.8 valid=300s;
  

5.3 证书监控与更新

建议通过脚本自动监控证书有效期，示例检测命令：

bash复制openssl x509 -in /etc/nginx/certs/sm2.pem -noout -enddate

华为云API可实现自动续期，调用示例：

python复制import huaweicloudsdkcore
from huaweicloudsdkces.v1 import *

client = CesClient.new_builder() \
    .with_credentials(basic_credentials) \
    .with_region(region) \
    .build()

request = ListMetricsRequest()
request.namespace = "SYS.CERT"
response = client.list_metrics(request)

6. 国密HTTPS的进阶配置

6.1 国密硬件加速方案

对于高并发场景，建议采用支持SM2/SM3/SM4的硬件加速卡。以华为云KPS服务为例：

1. 创建专属加密实例
2. 加载国密证书到HSM模块
3. 修改Nginx配置启用硬件加速：

   nginx复制ssl_engine qat;
   ssl_asynch on;
   

6.2 国密算法与HTTP/2优化

在http2模块中启用国密专用帧类型：

nginx复制http2_max_field_size 16k;
http2_max_concurrent_streams 128;
http2_body_preread_size 512k;

6.3 国密证书链校验要点

完整的国密证书链应包含：

1. 服务器证书
2. 中级CA证书
3. 根CA证书（需预埋到操作系统）

验证命令：

bash复制openssl verify -CAfile root-sm2.crt -untrusted intermediate-sm2.crt server-sm2.crt

在实际部署中遇到过证书链顺序错误导致的验证失败问题，正确的证书链拼接方式应为：

code复制-----BEGIN CERTIFICATE-----
服务器证书
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
中级CA证书  
-----END CERTIFICATE-----