【版权声明】

©2013-2024 安信永诚版权所有 本文档（含所有文字、数据、图片等内容）完整的著作权归西安安信永诚科技有限公司单独所有，未经安信永诚事先明确书面许可，任何主体不得以任何形式 复制、修改、使用、抄袭、传播本文档全部或部分内容。前述行为构成对安信永诚著作权的侵犯，安信永诚将依法采取措施追究法律责任。

【联系我们】

我们致力于为您提供个性化的售前购买咨询服务，及相应的技术售后服务，任何问题请联系029-84535438 或微信。

操作环境说明

本操作指南操作系统环境为Centos7.9\EulerOS 2.0\Kylin V10系统运行。

中间件环境Angie1.5.1，下载地址：https://angie.software/en/

密码模块gmssl，下载地址：https://www.axtrust.com.cn/download/gmssl.tar.gz

一、获取服务器证书

请前往https://www.axtrust.com.cn/联系客服获取数字证书，在您完成申请SSL证书的流程后，安信永诚将为您颁发相应的国际和国密双算法SSL证书，国际证书yourdomain_RSA.crt和私钥文件yourdomain_RSA.key；国密SSL证书yourdomain_sig.crt和私钥文件yourdomain_sig.key，yourdomain_enc.crt和私钥文件yourdomain_enc.key,请确认所收到的证书文件是您需要的SSL证书

二、安装服务器证书

1.      编译安装Angie

下载Angie安装包（Angie下载地址：https://angie.software/en/），以Angie1.5.1为例，编译安装Angie，将上面下载的gmssl.tar.gz解压后的文件夹gmssl拷贝到/usr/local/目录下，开始Angie编译(这里只指定了国密ssl和必要的几个模块，其他模块用户可自行增加)：

./configure \
--prefix=/usr/local/angie  
--with-openssl=/home/gmssl 
--with-openssl-opt=enable-ntls  
--with-ntls 
--with-http_ssl_module 

执行编译命令： 

make && make install

2.     免编译安装Angie

下载https://www.axtrust.com.cn/download/angie_gmssl.tar.gz 包拷贝到服务器根目录，直接解压tar -zxvf angie_gmssl.tar.gz到目录/usr/local/

解压后会看到两个文件夹angie和axtrust_gmssl

配置/usr/local/angie/sbin目录可读写权限。

3.     配置ssl证书

打开Angie安装目录下conf目录中的angie.conf文件，进行如下修改：

server {
     listen         443 ssl;
     server_name  www.yourdomian.com;
     ssl_ntls  on;
     ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
     ssl_ciphers "ECC-SM2-SM4-CBC-SM3:ECDHE-SM2-WITH-SM4-SM3:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-  GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:ECDHE-RSA-AES128-SHA256:!aNULL:!eNULL:!RC4:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS";
   #配置国密证书
    ssl_certificate      yourdomain_sig.crt yourdomain_enc.crt;
    ssl_certificate_key  yourdomain_sig.key yourdomain_enc.key;

   #配置国际证书
    ssl_certificate yourdomain_RSA.crt;
    ssl_certificate  yourdomain_RSA.key;
 
        location / {
            root   html;
            index  index.html index.htm;
        }
    }

保存退出，并通过命令./angie -t测试，出现syntax ok表示没有错误后执行./angie启动；

./angie -t 
angie: the configuration file /usr/local/angie/conf/angie.conf syntax is ok
angie: configuration file /usr/local/angie/conf/angie.conf test is successful
./angie

三、访问测试

服务器若部署了SSL证书，使用国密浏览器访问时将出现安全锁标志（360安全企业浏览器展示EV国密证书效果）

基于国家标准，使用了 SM2 国密算法，并搭配腾讯云国密浏览器和国密网关，实现了数据在网络传输过程中的全面保护，保障了用户的数据安全。

方案优势
国密 SM2 证书
安信永诚自主品牌、符合国家标准、完全自主知识产权、满足监控需求、无惧证书断供风险、服务及售后有保障。

国密浏览器
支持国密+国际双证书、GB/T 38636-2020（GM/T 0024-2014）标准（TLCP）、国密浏览器各种配置的深度定制需求。

国密Socks
支持国际浏览器，并且国密Socks及浏览器 代理模块均支持 SM2 加密算法，提供用户无需做浏览器升级，完整的域名解析国密链路，达到保护用户隐私目的。

国密综合安全网关
支持 SSL 、Web 、IPsec等国密加速技术，同时支持阈值上线限及告警、用户证书透传、页面智能预加载、URL 重定向、双机热备、深度健康检查等。

业务架构
用户通过不同的浏览器去请求访问站点，经过国密安全网关会进行判断：若系统自适应识别到浏览器支持国密算法，走国密标准的 HTTPS 访问传输。若使用普通浏览器，使用普通浏览器支持的国际算法证书来进行 HTTPS 访问传输。

这样即使受到他国制裁，使国际标准证书不再被支持。也可以迅速的切换到国密标准，保证业务的连续性、稳定性。

商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估，包括规划阶段的方案评审和建设、运行阶段的安全评估。——《信息系统密码应用评测要求》

它能解决商用密码应用中存在的突出问题，为重要网络和信息系统的安全提供科学评价方法，是新时期商用密码发展的重中之重，既是党中央做出的重要战略部署，也是顺应全球信息化发展趋势，维护国家网络和信息安全的必然过程。新修订的《商用密码管理条例》中把密评由“推荐性”变为“强制化”，密评工作已成为密码应用的法定要求。

变“推荐”为“强制”

2007年，国家密码管理局印发《信息安全等级保护商用密码管理办法》，成为密评工作的肇始和开端。2017年，国家密码管理局印发《关于开展密码应用安全性评估试点工作的通知》，密评工作走上了发展快车道，密评体系建设在法律法规、标准规范、机构培育等方面取得了长足的进展，科学性和规范性不断提升。2020年1月1日《密码法》的颁布实施，从法律层面为开展商用密码应用提供了根本遵循，并规范了商用密码应用和管理，也首次确立了密评工作的法律地位。《密码法》第二十七条对关键信息基础设施使用商用密码和开展密评提出了明确要求，并在第三十七条对违反该要求的行为明确了罚则，这从根本上建立起了密评制度，也是开展密评工作最基本的法律依据。随着《密码法》的贯彻实施，密评工作也得到了越来越多的关注和认可，成为了密码应用推进工作的重要抓手。修订后的《商用密码管理条例》（以下简称《条例》）自2023年7月1日起正式施行。《条例》是对密码法的进一步细化，也是对我国商用密码管理体系系统性、整体性、长期性思考的体现。新修订的《条例》对密评工作提出了更加具体和细化的要求。

（1）变“推荐性”为“强制化”，推进商用密码应用安全性评估《条例》中明确规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。《条例》直接体现了等保2.0的要求，网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。同时，《条例》也将商用密码应用安全性评估的范围予以扩展。《密码法》第27条仅规定使用商用密码进行保护的关键信息基础设施，自行或者委托商用密码检测机构开展商用密码应用安全性评估。而在《条例》中，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施都被要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。

（2）鼓励使用商密保护网络安全，密评、等保和关保加强衔接《条例》坚持总体国家安全观，统筹发展和安全，一方面规定网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全。另一方面，明确商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。《条例》关于密评的规定，既是对关键信息基础设施运营者密评主体责任的明确，也对密评体系建设提出了更高要求，指引着密评体系建设不断发展完善。

基础密码产品

USBKey、安全认证网关、加密机、签名验签服务器、时间戳服务器

安信永诚密评解决方案

我们能做什么：

一、提供密码产品，围绕产品做合规性应用，在相应层次解决合规问题，体现相应密码技术的“有效性”；

二、协助密评机构进行密评预测评，为建设单位省时省力，快速顺利的通过密码测评；

三、围绕密码支撑体系做整体的建设，既满足建设单位当下信息系统密评需求，同时为再建系统提供密码应用支撑能力。