SSL国密SM2双证书怎么部署 Nginx国密SSL握手失败怎么排查

品牌型号：华为matebook D14

系统：Windows 11家庭中文版

SSL证书对于网站开发者们来说意味着什么，这一点想必大家都知道，作为保护我们网站不受侵害的重要保障，我们应该在网站建成后的第一时间部署SSL证书。由于网站用途的不同，我们在选择SSL证书种类时也要根据实际情况来决定，其中有一种比较特殊的SSL证书种类是国密SSL证书。今天我们就来说一说SSL国密SM2双证书怎么部署，Nginx国密SSL握手失败怎么排查。

一、SSL国密SM2双证书怎么部署

国密SSL证书是中国国家密码局推出的一套SSL证书种类，与国际版本的DV、OV、EV等级的SSL证书不同，国密SSL证书仅限于搭载了国密算法的服务器使用，常见于一些敏感部门比如银行等。由于国密SSL证书的特殊性，我们在部署国密SSL证书时也比平时的步骤不同，接下来我就来说一说SSL国密SM2双证书怎么部署。

我刚才说到，国密SSL证书只有搭载了国密算法的服务器才能正确识别，所以对于Windows电脑来说，传统的IIS服务器是不能识别国密SSL证书的，普通版本的Nginx服务器也不行，想要在电脑上部署国密SSL证书，我们需要国密版Nginx服务器。

1、我们可以从GitHub等网站上找到国密版Nginx服务器的下载地址，在我们的电脑上安装国密版Nginx服务器。

2、国密版Nginx服务器和普通版Nginx服务器主要的区别就是国密Nginx服务器支持国密SSL证书，在具体操作上与普通版Nginx服务器区别不大。我们安装完成国密Nginx服务器之后，找到并打开一个名为“nginx.conf”的文件夹。

3、在这个文件夹中，将我们的国密SSL证书文件复制到这个文件夹中。需要提醒的是，一般的SSL证书只有两个文件，但由于是国密SSL SM2双证书，我们解压SSL证书文件后会拿到四个文件，我们需要把这四个文件全部都复制到文件夹中。

并且在这个过程中我们还需要用代码命令的形式，在国密Nginx服务器上部署国密SSL证书，具体形式如图三所示。

4、部署完成之后，我们要重启国密Nginx服务器，来让我们的部署生效。输入如图四所示的代码，点击回车，重启国密版Nginx服务器。

完成上面的步骤之后，我们就成功在国密Nginx服务器上部署国密SSL SM2双证书了。其实部署国密版SSL证书的部署步骤在大体上与在普通版Nginx部署SSL证书类似，只有两个区别，一是我们需要国密版的Nginx服务器，二是我们需要上传更多的证书文件。

二、Nginx国密SSL握手失败怎么排查

不过由于国密SSL证书的特殊性，我们在部署完成之后还要登录自己的网站检查一下国密SSL证书是否正常运行。如果我们发现在部署完成后服务器和SSL证书握手失败，需要从下面三个方面排查：

1、检查是否使用了国密版Nginx。在上文我强调过了，一般的Windows系统电脑搭载的IIS服务器和普通版Nginx服务器是不支持国密算法的，我们需要下载国密版Nginx服务器。如果我们直接使用Windows原生的IIS服务器或Nginx服务器，那么就会导致握手失败的情况出现。

2、检查是否使用了支持国密算法的浏览器。国密SSL证书不仅对服务器有要求，对于浏览器也有一定的要求，Windows电脑上的IE浏览器是不能识别国密SSL证书文件的。因此我们想要登陆受国密SSL证书保护的网站，需要用支持国密算法的浏览器，比如360浏览器等等。

3、检查是否使用的是国密SSL证书。如果我们使用的是国密版Nginx服务器，也用了支持国密算法的浏览器，但还是出现了握手失败的情况，这时候我们就要确定自己的SSL证书是否是国密SSL证书，如果我们的SSL证书不是国密SSL证书，那么我们就要重新购买国密SSL证书。

关于国密SSL证书的获取渠道其实也不复杂，现在在许多SSL证书授权经销商的官网上都能找到国密SSL SM2双证书的获取渠道，我们可以前往CA数字证书中文网站联系销售获取详细报价。

以上就是关于SSL国密SM2双证书怎么部署，Nginx国密SSL握手失败怎么排查的全部内容了。如果我们要使用国密SSL证书来给我们的网站提供保护的话，那么就需要用特定的浏览器和服务器，来保证浏览器和服务器都能够正确识别国密SSL证书。