等保测评、密评专用SSL证书申请流程

一、等保、密评对SSL证书的核心要求

等保测评和密评对SSL证书有明确的技术规范，主要体现在以下三个方面：

1. 算法合规：必须支持国密算法

根据《商用密码应用安全性评估管理办法》及GB/T 39786-2021标准，三级及以上系统必须采用国产密码算法（SM2/SM3/SM4）进行加密传输：

• SM2：替代RSA的国产非对称加密算法
• SM3：国产哈希算法
• SM4：国产对称加密算法

结论：仅支持RSA/ECC的国际算法证书无法通过密评，必须选择支持国密算法的SSL证书。推荐采用“国密+国际”双算法证书，兼顾合规性与全球浏览器兼容性。

2. 验证级别：OV/EV证书为强制选项

域名验证（DV）证书仅验证域名所有权，不验证组织身份，无法满足等保二级及以上对“通信主体可信认证”的要求。因此：

• 等保二级：建议采用OV证书
• 等保三级及以上：必须采用OV或EV证书，且需通过企业资质审核

3. CA机构：国内可信、数据不出境

证书需由国家密码管理局认证的国内CA机构签发，确保证书验签服务器、时间戳及OCSP等全部部署在中国境内，满足数据不出境的合规要求。国产自主品牌如JoySSL、CFCA等均在推荐之列。

二、等保密评专用SSL证书申请全流程（以JoySSL为例）

等保密评专用SSL证书申请入口

JoySSL作为国内自主CA机构，提供专业的等保密评专用SSL证书，支持国密算法、OV/EV验证，且全流程国内验签。以下是详细申请步骤：

第一步：注册账号并获取技术支持

1. 访问JoySSL官网，点击右上角注册账号

2. 关键步骤：在注册过程中，填写邀请码 230970即可获得：

   • 免费证书测试机会
   • 大额优惠券

   • 一对一全程技术指导

     第二步：选择等保密评专用证书

登录后，在首页SSL证书分类中选择  “等保/密评”  专用证书。根据实际需求选择；

特别提示：如果系统使用IP地址访问（如内网系统、API接口），需选择IP地址证书，同样支持OV验证和国密算法。

第三步：提交申请并完成验证

1. 填写信息：提交企业名称、联系人、联系方式、营业执照等资质材料

2. 域名/IP验证：

   • DNS验证：添加TXT解析记录
   • 文件验证：上传验证文件至服务器根目录

3. 组织验证：OV/EV证书需通过电话、邮件核实企业信息，通常需1-3个工作日

   第四步：下载证书并部署

验证通过后，登录JoySSL账号下载证书文件压缩包（包含服务器证书、中间证书链、私钥）。根据服务器类型（Nginx/Apache/IIS）参照官方安装指南进行部署。