构建网络信息安全的中国方案 - 国密SSL协议介绍以及国密Nginx服务器部署

国密SSL协议

国密SSL协议指的是采用国密算法，符合国密标准的安全传输协议。简而言之，国密SSL就是SSL/TLS协议的国密版本。
TLS协议定义有三个版本号，为0x0301、0x0302、0x0303，分别对应TLS 1.0、1.1、1.2。国密SSL为了避免冲突，选择了0x0101。国密SSL协议规范是TLS 1.1和TLS 1.2的混合体，大部分情况下参考TLS 1.1，少数地方又参考了TLS 1.2。

国密SSL协议和标准SSL协议的区别和联系

区别

算法差异
- 国密SSL协议使用的是中国自主研发、国家密码管理局指定的一系列国产密码算法，如SM2、SM3、SM4等。
- 传统的SSL/TLS协议则主要依赖于国际标准的加密算法，如RSA、AES、SHA等。
合规性和政策要求
- 在中国政府主导的一些信息安全项目中，可能要求必须采用国密SSL协议以符合相关法律法规和安全标准。
- 对于国际通用环境，SSL/TLS协议是业界标准，得到了各大浏览器、操作系统及服务器软件的广泛支持。
兼容性问题
- 国密SSL协议由于采用了特定的国内加密算法，在一些仅支持国际标准算法的客户端（如常见的国外浏览器）上可能无法正常工作或显示为不受信任。
- SSL/TLS协议在全球范围内的兼容性较好，大部分网络设备和服务都能很好地支持。

联系

基本工作原理一致
- 国密SSL协议在设计原则上继承了SSL/TLS协议的基本结构和工作流程，包括握手协议、记录层协议等核心组成部分，确保数据传输的机密性、完整性和身份认证。
功能目标相同
- 不论是国密SSL还是标准TLS，其主要目标都是为网络通信提供端到端的安全连接，保障Web服务、电子邮件、即时通讯等各种应用场景的数据安全。
证书格式相似
- 虽然国密SSL证书采用了不同的公钥算法，但其作为数字证书的基本格式和作用与标准SSL/TLS证书类似，都用于服务器的身份验证和会话密钥交换。
综上所述，国密SSL协议是在遵循国际标准协议框架的基础上，针对我国密码政策和自主可控需求进行的定制化改造。尽管存在一些技术细节上的差异，但它们在提供网络安全服务的核心目标和机制上保持了一致性。

握手过程

国密SSL协议与标准SSL协议的握手过程基本一致，我这里只简单介绍下国密SSL协议的握手过程。
详细SSL握手过程可参考这篇文章全面解读SSL/TLS协议

整体抓包截图
- 可以访问这个网站 https://www.wotrus.com进行抓包。可以看到客户端和服务端整体的握手流程和标准SSL协议基本一致。
- 需要注意的是必须使用支持国密SSL协议的浏览器，这里建议下载奇安信浏览器，并且安装国密版本wireShark抓包工具。在后面国密Nginx服务器部署章节有介绍。

Client Hello消息

首先看下Client Hello消息，首先是版本号与标准SSL协议不同，国密SSL协议版本号的值为 0x0101，其次是加密套件，国密SSL协议较为常用的加密套件为 ECC_SM4_SM3。
国密SSL协议支持的加密套件共有以下12个

序号名称值
1 ECDHE_SM1_SM3 {0xe0, 0x01}
2 ECC_SM1_SM3 {0xe0, 0x03}
3 IBSDH_SM1_SM3 {0xe0, 0x05}
4 IBC_SM1_SM3 {0xe0, 0x07}
5 RSA_SM1_SM3 {0xe0, 0x09}
6 RSA_SM1_SHA1 {0xe0, 0xa0}
7 ECDHE_SM4_SM3 {0xe0, 0x11}
8 ECC_SM4_SM3 {0xe0, 0x13}
9 IBSDH_SM4_SM3 {0xe0, 0x15}
10 IBC_SM4_SM3 {0xe0, 0x17}
11 RSA_SM4_SM3 {0xe0, 0x19}
12 RSA_SM4_SHA1 {0xe0, 0x1a}

序号	名称	值
1	ECDHE_SM1_SM3	{0xe0, 0x01}
2	ECC_SM1_SM3	{0xe0, 0x03}
3	IBSDH_SM1_SM3	{0xe0, 0x05}
4	IBC_SM1_SM3	{0xe0, 0x07}
5	RSA_SM1_SM3	{0xe0, 0x09}
6	RSA_SM1_SHA1	{0xe0, 0xa0}
7	ECDHE_SM4_SM3	{0xe0, 0x11}
8	ECC_SM4_SM3	{0xe0, 0x13}
9	IBSDH_SM4_SM3	{0xe0, 0x15}
10	IBC_SM4_SM3	{0xe0, 0x17}
11	RSA_SM4_SM3	{0xe0, 0x19}
12	RSA_SM4_SHA1	{0xe0, 0x1a}

备注：实现ECC和ECDHE的算法为SM2, 实现IBC和IBSDH的算法为SM9，RSA算法的使用应符合国家密码管理主管部门的要求。

Service Hello消息
- Server Hello消息返回使用的加密套件为ECC_SM4_SM3。
Server Certificate消息
- 该消息发送服务端的证书，包含加密证书和签名证书。这里使用的证书就是国密SM2证书。
Server Key ExChange消息
Server Hello done消息
Client Key Exchange消息
Change Cipher Spec 消息
Finished [Encrypted Handshake Message] 消息

国密Nginx服务器部署

国密SSL实验室：此网站中有介绍如何部署国密Nginx服务器的教程。
国密Nginx部署包 : 我参考此网站将所需的安装包都下载上传到gitee了，需要的可自行下载，并参考以下步骤部署。

zlib安装

解压zlib.tar.gz
- tar -zxvf zlib.tar.gz
进入zlib目录, 分别执行以下命令
- ./configure
- sudo make
- sudo make install

pcre安装

解压pcre-8.45.zip
- unzip pcre-8.45.zip
进入pcre目录, 分别执行以下命令
- ./configure
- sudo make
- sudo make install

国密版本OpenSSL安装

解压openssl到指定目录
- tar -zxvf gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local

国密版本Nginx安装与配置

解压 nginx-1.24.0.tar.gz
- tar -zxvf nginx-1.24.0.tar.gz
进入nginx目录
将auto/lib/openssl/conf文件中 $OPENSSL/.openssl/全部修改为 $OPENSSL/并保存
然后分别执行以下命令编译安装
- ./configure --without-http_gzip_module --with-http_ssl_module --with-http_stub_status_module --with-http_v2_module --with-stream --with-file-aio --with-openssl=“/usr/local/gmssl”
- sudo make
- sudo make install
默认会安装到这个目录下 /usr/local/nginx
将 sm2.SmallWolf.zip 拷贝到 /usr/local/nginx/conf 目录下并解压
修改nginx配置文件 /usr/local/nginx/conf/nginx.conf 中的server项

  server {
      listen       443 ssl;
      server_name  localhost;

      ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
      ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;
      ssl_verify_client off;


      ssl_certificate      sm2.SmallWolf.enc.crt.pem;
      ssl_certificate_key  sm2.SmallWolf.enc.key.pem;

      ssl_certificate      sm2.SmallWolf.sig.crt.pem;
      ssl_certificate_key  sm2.SmallWolf.sig.key.pem;

      location / {
          root   html;
          index  index.html index.htm;
      }
  }

然后进入 /usr/local/nginx/sbin目录启动nginx

国密浏览器安装

常用浏览器是不支持访问国密Web服务器的，双击安装奇安信浏览器 qaxbrowser_1.1.45335.52.exe。也可以去奇安信官网去下载浏览器进行安装。
安装完成后，打开浏览器设置，选择高级设置，然后勾选启动国密SSL通信。
设置完成后，重启浏览器。访问搭建好的Nginx服务器。
可以看到，站点证书已经是国密证书了。