qq_15077747的博客

国密CA体系里面，加密密钥对是在CA端产生的，和通常的签名证书流程不一样（签名密钥对通常是用户自己产生的，发送证书请求给CA来申请证书）。那用户怎么安全获得加密证书和私钥呢？国密规范规定，加密私钥需要通过数字信封使用用户的签名公钥加密。CA将加密私钥密文返回给用户，用户因为有对应的签名私钥，因此只有该用户才可以解开密文，获得加密私钥。过程如下：1）用户使用U盾产生签名密钥对，生成签名证书请求，发送签名证书请求给CA；2）CA审核生成签名证书，产生加密密钥对，生成加密证书；3）CA生成对称密钥

<div id="cnblogs_post_body" class="blogpost-body"> <p>　<strong>背景介绍&nbsp; &nbsp;</strong></p><div id="cnblogs_post_body" class="blogpost-body"><p data-mce-="">　　最近在看《密码学与网络安全》相关的书籍，这篇文章主要详细介绍一下著名的网络安全..

gmssl编译后，使用s_server启动服务后（配置为双向https），再使用360安全浏览器访问服务，ssl会链接失败。可以替换文件statem_srvr.c ，重新编译后就可以了。

从官网下载nginx源码 http://nginx.org/en/download.html，我下载的是1.18版本下载解压到root目录下进入目录 cd /root/nginx-1.18.0编辑auto/lib/openssl/conf，将全部 $OPENSSL/.openssl/修改为$OPENSSL/并保存编译配置./configure \--without-http_gzip_module \--with-http_ssl_module \--with-http_st

主要以linux（centos7）编译过程为例。测试证书使用 https://www.gmssl.cn/gmssl/index.jsp 提供的测试证书，也可以自己产生。从https://github.com/guanzhi/GmSSL下载GMSSL源码，放在root目录下替换 statem_gmtls.c，不然后期与360浏览器交互时访问不到页面，服务器报 no share cipher 的错误。下载地址 ：statem_gmtls.c安装 perl-devel编译过程 (网上很多编