国密SSL VPN握手抓包分析

Windows PC电脑；
国密SSL 客户端（浏览器）；
Wireshark客户端（需支持国密协议版本， github地址 ），用于查看握手数据。

打开wireshark客户端，监听对应的网卡。可以在联网时通过wireshark查看哪个网卡有网络波动，选择对应的网卡。

Wireshark设置按照IP过滤，设置SSL 连接的国密服务器IP过滤。IP地址即为安全接入的网关或安全服务的地址。

此时可以看到通过GMTLS协议的握手数据。根据请求我们具体分析。

客户端向服务端发送Client Hello消息，传送客户端支持的最高 SSL 协议的版本号、随机数、加密算法列表，以及其他所需信息。Client Hello消息的内容如下图所示：

服务端收到客户端建立SSL连接的请求后，通过发送Server Hello消息向客户端传送SSL 协议的版本号、随机数、会话ID、加密算法的种类以及其他相关信息。消息内容如下：

同时服务端向客户端发送包含其证书的Certificate消息。证书中所携带服务端的公钥。如下图所示：

发送Certificate Request消息，要求服务端上报证书，如下图所示：

客户端发送Client Key Exchange和Change Cipher Spec消息，Client Key Exchange包含使用服务器公钥加密过的随机数Pre_Master_Secret，该参数用于后续生成主密钥。 （此处客户端使用前面提到的两个随机数，再生成第三个随机数，然后通过服务端证书中的公钥对第三个随机数加密，生成该 Pre_Master_Secret ） ；Change Cipher Spec消息告诉服务器，接下来的消息将采用新协商的加密套件和密钥进行通信，并通知客户端到服务器的握手过程结束。如下图所示：

服务端同样发送Change Cipher Spe消息通知服务端到客户端的握手过程结束，并发送一个加密的握手数据Encrypted Handshake Message 消息，客户端收到消息解密后进行验证，验证通过则说明握手过程中的数据没有被篡改过，也说明服务端是之前交换证书的持有者。现在双方就可以开始加密通信。如下图所示：

可以通过查看证书的发证机构来判断证书是国际证书还是国内证书。国际证书的发证机构一般为国际知名的机构，如ISO、UL等；而国内证书的发证机构一般为国内的机构，如国家质量监督检验检疫总局等。

沃通提供国密SSL证书免费申请试用服务，一次申请可同时签发SM2/RSA双算法证书，试用周期1个月，用于测试国密SM2 SSL证书的运行效果和SM2/RSA双证书部署效果。

试用产品：SM2/RSA双算法证书(国密超快SSL V1证书、RSA超快SSL 证书)

申请链接：>

申请指南：国密SSL证书试用申请指南网页链接

沃通国密超快SSL V1证书是提供给用户测试试用的V1级别国密SSL证书，证书有效期1个月，参考国际标准中的DV级别身份验证标准，并遵循国家标准GMT 0024-2014《SSL 技术规范》，支持SM2/SM3/SM4国密算法和国密安全协议，采用国密算法实现高强度SSL加密连接，通过自主可控的密码技术，保护客户端到服务器之间的数据传输安全。

沃通国密超快SSL V1证书与沃通国密超真SSL V3、超安SSL V4证书遵循相同的国密技术标准，但身份验证级别不同、签发周期更短，方便用户尽快获取证书用于测试试用。配套提供的RSA DV SSL证书由全球信任顶级根签发，支持所有浏览器和移动终端，证书有效期1个月。

产品特点：
产品优势：

由于国密算法在 *** 作系统、浏览器等终端环境中尚未实现全面兼容，使用国密SM2 SSL证书的网站在主流浏览器中无法正常使用。沃通CA通过建立国密全生态支持体系，提供SM2/RSA双证书服务，使得基于国密算法的>

沃通CA不仅提供国密SSL证书产品，还自主研发支持国密算法的密信浏览器、服务器软件国密支持模块等国密应用产品，建立完整的国密SSL证书全生态支持体系，确保国密算法>

沃通CA独家推出“SM2/RSA双证书”服务，在国密SSL网关同时部署SM2/RSA双证书，服务器软件自动识别浏览器，对国密浏览器返回国密SSL证书，对国际主流浏览器返回RSA SSL证书，从而自适应兼容所有浏览器；沃通基于Nginx服务器和OpenSSL自主研发国密支持模块，重新编译到Nginx上即可支持国密算法。

通过国密全生态支持体系和 “SM2/RSA双证书”服务模式，使得部署国密SSL证书的网站系统，兼顾国密合规性和全球通用性，真正达到实用的水平，满足金融银行、电子政务等领域的国密算法SSL证书使用需求，确保用户业务系统平滑实现升级改造并稳定运行，真正实现基于国密算法的>证书样板：

如下图所示为 国密超快SSL V1证书样板，由 国密SM2根证书 签发，以及RSA 超快SSL证书样板，由全球信任顶级根签发。

您好！
拥有SSL证书的经销商在国内满地都是，但被认可的CA机构全球才5家左右了（截止：2018年10月27日）在这里列出权威性较高的CA中机构或CA机构。
Gworg光网、WoTrus沃通、GDCA数安时代、中国金融认证中心（CFCA）、上海CA

SSL证书分为3个分类与各个域保护方式：

DV证书：域名级别验证的证书：适合个人小型网站。

OV证书：企业身份验证的证书：需要提交企业营业执照等企业有效资质。适合企事业单位。

DV、OV地址栏展现效果相同

OV证书会展示企业实名注册信息

EV证书：加强验证性证书：需要提交企业营业执照等企业有效资质，进行最严格的验证。属于等级最高的SSL证书。浏览器地址栏标记为绿色并显示认证通过的企业名称。适合互联网公司、大型网站、政府、金融、保险等行业

DV与OV证书还区别：单域名、通配符、多域名、多域名通配符等类型。

单域名：可以保护一个主域名或子域名。

通配符：保护一个主域名旗下任何自定义的二级域名。

多域名：多个不同的域名在一个证书的信任。

多域名通配符：可以保护多个域名的通配符在1个证书的服务。

主要还是类型和价格上的区别吧，选几款大家常用的SSL证书品牌简单说一下。
一、Comodo
Comodo是世界上知名的SSL证书颁发机构，著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务，Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。 Comodo SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性，真实性以及安全性，使Comodo成为一个非常值得信赖的品牌。
二、Symantec
Symantec成立于1982年，全球安全领域的领导者，Symantec SSL证书(前身为VeriSign)是全球公认最可靠证书颁发机构。90%的世界500强在使用Symantec SSL证书，工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。服务于全球超过35个国家，拥有众多的企业、政府和个人用户。全球100家最大的金融机构中有90多家，北美500家最大的电子商务网站中75%的网站使用的都是赛门铁克的SSL证书。
三、GeoTrust
GeoTrust是世界第二大的数字安全提供者，是非常受欢迎，低廉的价格非常适合中小型企业，签发速度快并且提供高达256位SSL加密。现已超过150个国家的用户选择GeoTrust产品来保护他们的在线交易和各类在线业务，Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。

SSL证书颁发机构又称CA机构，是一个受信任的数字证书颁发机构。CA机构的全称为Certificate Authority证书认证中心。只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的SSL证书颁发机构。SSL证书颁发机构必须遵从行业规则的约束，需要入根到各大浏览器、 *** 作系统以及移动设备程序中，这样才能发布透明、受信任的SSL证书。

介绍以下几种常见的SSL证书品牌

WoTrus是国内知名的SSL证书品牌，该品牌SSL证书除了能支持国际信任体系外，还能够支持国密信任体系（国密SSL证书），提供可靠的国际国产算法双通道保障。作为国产SSL证书品牌，WoTrus相比于国外品牌有着明显的价格优势。

GlobalSign是一家声誉卓著、备受信赖的CA中心和SSL数字证书提供商，致力于网络安全认证及数字证书服务。

DigiCert:美国历史悠久的SSL证书机构，已经收购了Symantec旗下的SSL证书业务。该CA证书品牌也是沃通CA推荐的品牌之一，审核快，性价比高，知名度卓越。在国内国外都拥有很大的市场份额。

Symantec，赛门铁克是目前SSL行业中最受认可的证书品牌。它服务了大概30多个国家，拥有众多政府，企业及个人用户，在全球有着很好的口碑！在国内，赛门铁克（Symantec）SSL证书的占有率一直保持在首位。 赛门铁克强大的PKI基础架构包括军事级数据中心和灾难恢复站点，能够实现超高安全性的数据保护， 让体验的用户安心。目前已被digicert收购，成为digicert Symantec，是目前全球最大的CA机构！

Comodo是著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务。在价格方面最经济的一款，可以实现基本的>

国内外CA机构对比，如何挑选合适的SSL证书品牌？

---