国密协议的Nginx双证书配置代码示例

Nginx双证书配置代码示例

本配置假设您已安装支持国密协议的Nginx分支（如BabaSSL、OpenResty或带有国密模块的编译版）。

Nginx

server {
    listen 443 ssl;
    server_name www.yourdomain.com;

    # 1.国际标准RSA证书配置（兼容Chrome/Edge等）
    ssl_certificate /path/to/rsa/fullchain.crt;
    ssl_certificate_key /path/to/rsa/private.key;

    # 2.国密标准SM2证书配置（适配360/密信/红莲花等）
    # 国密通常需要签名证书与加密证书成对配置
    ssl_certificate /path/to/sm2/sign.crt;
    ssl_certificate_key /path/to/sm2/sign.key;
    ssl_certificate /path/to/sm2/enc.crt;
    ssl_certificate_key /path/to/sm2/enc.key;

    # 3.加密协议与套件优化
    ssl_protocols TLSv1.2 TLSv1.3;
    # 优先使用国密套件，若客户端不支持则自动回退至RSA套件
    ssl_ciphers ECC-SM2-SM4-CBC-SM3:ECDHE-SM2-with-SM4-SM3:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers on;

    # 4.常规性能优化
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    location / {
        root html;
        index index.html index.htm;
    }
}

关键配置项说明

• 多指令并行：在支持国密的Nginx版本中，ssl_certificate指令允许重复出现。服务器会根据客户端在握手阶段发送的算法支持列表（Client Hello），自动匹配对应的证书链。
• 签名与加密分离：国密规范要求使用“双证书”体系，即一张用于身份签名，一张用于数据加密，这与国际RSA单证书逻辑有所区别。
• 套件优先级：通过ssl_ciphers指令将SM2算法排在首位，可以确保当合规浏览器访问时，系统能优先走国密通道以满足密评审计需求。