从零到一：在Nginx中部署SM2国密证书实战指南

1. 为什么你需要SM2国密证书

最近两年，越来越多的企业开始收到合规部门的邮件，要求将现有的RSA证书替换为国密SM2证书。我第一次接到这个任务时也是一头雾水，花了两周时间才把整套流程跑通。现在回想起来，其实整个过程并不复杂，只是当时缺少一份真正从零开始的完整指南。

SM2算法是我国自主设计的椭圆曲线公钥密码算法，相比传统的RSA算法有几个明显优势：首先是安全性更高，256位的SM2密钥强度相当于3072位的RSA；其次是运算速度更快，特别是在移动设备上能显著降低功耗；最重要的是它符合国内密码管理政策要求。我去年给某金融机构做迁移时，他们的测试数据显示SM2的握手速度比RSA快了近40%。

2. 环境准备：搭建支持SM2的OpenSSL

2.1 检查现有环境

在开始之前，先用这个命令检查你的OpenSSL是否支持SM2：

openssl ecparam -list_curves | grep sm2

如果没有任何输出，说明需要重新编译OpenSSL。我去年在CentOS 7上就遇到过这个问题，系统自带的OpenSSL 1.0.2根本不支持SM2。

2.2 编译安装支持SM2的OpenSSL

这里我推荐使用OpenSSL 1.1.1以上版本，编译时记得加上enable-sm2参数：

wget https://www.openssl.org/source/openssl-1.1.1w.tar.gz tar -zxvf openssl-1.1.1w.tar.gz cd openssl-1.1.1w ./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl enable-sm2 make -j4 sudo make install

编译完成后，记得更新系统路径：

echo 'export PATH=/usr/local/openssl/bin:$PATH' >> ~/.bashrc source ~/.bashrc

3. 生成SM2证书全流程

3.1 创建SM2私钥

生成私钥时要注意密钥长度，SM2固定使用256位：

openssl ecparam -genkey -name sm2p256v1 -out sm2.key

这里有个坑要注意：有些老版本的OpenSSL可能会报"unknown curve"错误，这时候需要确认编译时确实启用了SM2支持。

3.2 生成证书签名请求(CSR)

创建CSR文件时，建议加上-sm3参数指定签名算法：

openssl req -new -key sm2.key -out sm2.csr -sm3 -subj "/C=CN/ST=Beijing/L=Beijing/O=YourCompany/CN=yourdomain.com"

我遇到过CSR被CA拒绝的情况，后来发现是因为没加-sm3参数。国内CA机构通常要求使用SM3作为哈希算法。

3.3 获取签名证书

把CSR提交给CA机构后，你会得到一个.crt文件。这里有个重要提示：国内主流CA如CFCA、上海CA的SM2证书价格比RSA证书贵30%左右，但有些云服务商(比如阿里云)现在提供免费的SM2试用证书。

4. Nginx配置详解

4.1 基础证书配置

把证书和私钥放到/etc/nginx/ssl/目录下后，nginx配置应该这样写：

server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /etc/nginx/ssl/sm2.crt; ssl_certificate_key /etc/nginx/ssl/sm2.key; # 必须配置的加密套件 ssl_ciphers "EECDH+SM2+AESGCM:EECDH+SM2+AES"; ssl_prefer_server_ciphers on; }

这里最容易出错的是ssl_ciphers配置，我第一次配的时候漏掉了EECDH+SM2，结果Chrome直接报错ERR_SSL_VERSION_OR_CIPHER_MISMATCH。

4.2 性能优化配置

SM2证书在Nginx上需要特别优化才能发挥最佳性能：

ssl_protocols TLSv1.2 TLSv1.3; ssl_ecdh_curve sm2p256v1; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off;

重点是这个ssl_ecdh_curve配置，它指定了密钥交换使用的椭圆曲线。实测加上这个配置后，TLS握手时间能缩短20%。

5. 验证与排错

5.1 基础验证方法

配置完成后，先用这个命令检查nginx配置是否正确：

nginx -t

然后使用openssl验证证书链：

openssl verify -CAfile chain.crt sm2.crt

我建议再用这个命令测试实际握手情况：

openssl s_client -connect yourdomain.com:443 -cipher ECDHE-SM2 -tls1_2

5.2 常见问题解决

问题1：浏览器提示"不安全连接" 解决方案：检查证书链是否完整，可能需要配置ssl_trusted_certificate：

ssl_trusted_certificate /etc/nginx/ssl/chain.crt;

问题2：Nginx启动报错"SSL_CTX_use_certificate:key values mismatch" 解决方案：这通常是证书和私钥不匹配导致的，用这个命令检查：

openssl x509 -noout -modulus -in sm2.crt | openssl md5 openssl ec -in sm2.key -noout -text | grep -A 3 "pub:"

6. 进阶配置技巧

6.1 双证书部署方案

为了兼容老旧客户端，可以采用RSA+SM2双证书方案：

server { listen 443 ssl; ssl_certificate /etc/nginx/ssl/rsa.crt; ssl_certificate_key /etc/nginx/ssl/rsa.key; ssl_certificate /etc/nginx/ssl/sm2.crt; ssl_certificate_key /etc/nginx/ssl/sm2.key; ssl_configuration_method dual; }

这个配置下，支持SM2的客户端会自动选择SM2证书，其他客户端会使用RSA证书。

6.2 OCSP Stapling配置

SM2证书也可以启用OCSP装订提升性能：

ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 valid=300s; resolver_timeout 5s;

配置后可以用这个命令验证：

openssl s_client -connect yourdomain.com:443 -status -tls1_2 < /dev/null 2>&1 | grep -i "OCSP response"

7. 生产环境注意事项

在实际部署中，我发现有几点特别重要：首先是证书续期问题，SM2证书的有效期通常比RSA证书短，建议设置自动监控；其次是兼容性问题，Windows 7的IE11需要特别处理；最后是性能监控，建议在Nginx日志中添加$ssl_cipher和$ssl_protocol字段，方便分析SM2使用情况。

配置完成后别忘了测试不同场景下的表现，特别是移动端设备。我在华为手机上就遇到过TLS握手失败的情况，后来发现是没正确配置中间证书。现在每次部署新证书，我都会用这个在线工具全面测试：https://www.ssllabs.com/ssltest/