国密SSL证书（基于我国自主SM系列算法）与国际证书（基于RSA、ECC等国际通用算法）因适用场景、合规要求不同而被广泛使用。许多企业在实际应用中会面临一个关键问题：这两类证书是否可以并存？答案是可以并存，且通过合理配置，能同时满足国内合规要求与国际兼容性需求。以下从技术可行性、实现方式、应用场景及注意事项等方面详细介绍。

一、国密SSL证书与国际证书的核心差异

在讨论并存问题前，需先明确两类证书的本质区别，这是理解其共存逻辑的基础：

二、国密SSL证书与国际证书并存的技术可行性

从技术角度看，两类证书并存的核心逻辑是服务器对客户端进行“算法协商”：当客户端发起HTTPS连接时，服务器会检测其支持的加密算法，自动匹配对应的证书。这种机制基于TLS协议的“握手阶段协商”特性，无需额外改造底层协议，因此具备明确的可行性。

具体而言，服务器可同时加载国密证书和国际证书，并配置对应的加密套件（如国密套件 ECC-SM4-SM3 、国际套件 ECDHE-RSA-AES256-GCM-SHA384 ）。客户端连接时，会向服务器发送“支持的加密算法列表”，服务器根据列表选择合适的证书和套件完成握手。例如：

• 若客户端是国产浏览器（支持SM算法），服务器使用国密证书；
• 若客户端是Chrome（不支持SM算法），服务器使用国际证书。

这种“按需匹配”的模式确保了两类证书在同一服务器上互不冲突，且对用户透明。

三、国密与国际证书并存的实现方式

实际部署中，需根据Web服务器类型进行配置，主流服务器（如Nginx、Apache、Tomcat）均支持双证书并存，以下是具体实现方式：

1. Nginx服务器配置

Nginx通过集成国密模块（如 nginx-ssl-module 、沃通国密模块）实现双证书支持，核心配置如下：

1    server {
2        listen 443 ssl;
3        server_name example.com;
4
5        # 国际证书配置（RSA/ECC）
6        ssl_certificate /path/to/international_cert.crt;
7        ssl_certificate_key /path/to/international_key.key;
8
9        # 国密证书配置（SM2）
10      ssl_sm_certificate /path/to/gm_cert.crt;
11      ssl_sm_certificate_key /path/to/gm_key.key;
12
13      # 配置加密套件优先级（国密套件优先）
14      ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECC-SM4-SM3:ECDHE-ECDSA-AES256-GCM-SHA384;
15      ssl_prefer_server_ciphers on;
16
17      # 其他TLS配置（协议版本、会话缓存等）
18      ssl_protocols TLSv1.2 TLSv1.3;
19      ssl_session_cache shared:SSL:10m;
20  }

• 原理：Nginx通过 ssl_sm_certificate 指定国密证书，当客户端支持SM算法时，自动启用国密证书；否则使用国际证书。

2. Apache服务器配置

Apache需编译集成国密模块（如 mod_ssl_gm ），配置示例：

1    <VirtualHost *:443>
2        ServerName example.com
3
4        # 国际证书
5        SSLCertificateFile /path/to/international_cert.crt
6        SSLCertificateKeyFile /path/to/international_key.key
7
8        # 国密证书
9        GmSSLCertificateFile /path/to/gm_cert.crt
10      GmSSLCertificateKeyFile /path/to/gm_key.key
11
12      # 加密套件配置
13      SSLCipherSuite ECC-SM4-SM3:ECDHE-RSA-AES256-GCM-SHA384
14      SSLProtocol TLSv1.2 TLSv1.3
15  </VirtualHost>

3. 国产服务器（如Tengine、OpenResty国密版）

国产服务器通常原生支持双证书配置，且无需额外编译模块，例如阿里云Tengine的配置更简化，直接通过控制台即可上传两类证书并自动生效，适合对技术配置不太熟悉的企业。

四、国密与国际证书并存的应用场景

两类证书并存并非“冗余配置”，而是针对复杂业务场景的最优解，主要适用以下情况：

1. 跨境业务需求  

企业同时服务国内和国际用户：国内用户（尤其是政务、金融行业客户）可能要求使用国密算法以满足合规性（如《网络安全法》对关键信息基础设施的加密要求）；国际用户使用的浏览器（如Chrome、Safari）不支持国密算法，需依赖国际证书保障通信加密。

2. 多终端兼容  

移动应用、小程序、物联网设备等终端可能存在算法支持差异：例如，微信小程序对国密算法的兼容性逐步提升，而海外版App可能仅支持国际算法，双证书可确保所有终端正常访问。

3. 渐进式合规过渡  

部分企业初期使用国际证书，后期因政策要求需切换为国密证书，双证书并存可实现平滑过渡，避免因证书切换导致服务中断。

五、并存时的注意事项

1. 证书兼容性测试  

部署后需验证多场景下的兼容性：

• 国内浏览器（360安全浏览器、Edge国内版）是否优先使用国密证书；
• 国际浏览器（Chrome、Firefox）是否正常识别国际证书；
• 移动端（iOS、Android）及小程序是否无报错连接。

2. 服务器性能优化  

双证书会增加服务器的计算负载（尤其是握手阶段的算法协商），建议：

• 启用TLS会话复用（ ssl_session_cache ）减少重复握手；
• 选择支持硬件加速（如国密芯片）的服务器，提升SM算法处理效率。

3. 证书生命周期管理  

两类证书的有效期可能不同，需建立管理机制：

• 记录各自的到期时间，提前30天申请续期；
• 使用证书管理平台（如阿里云SSL证书控制台）统一监控证书状态，避免因某类证书过期导致服务异常。

4. 合规性文件留存  

国密证书需向CA机构提交企业资质文件（如营业执照、组织机构代码证），国际证书需保留域名验证记录，并存情况下需分别归档两类证书的申请材料，以备监管检查。

国密SSL证书与国际证书不仅可以并存，而且是企业应对复杂业务场景的重要配置策略。通过技术上的双证书部署，企业能够同时满足国内合规要求与国际兼容性需求，确保所有用户的HTTPS通信安全。在实际操作中，需注意服务器配置的正确性、兼容性测试的全面性及证书生命周期的管理，必要时可借助证书供应商（如DigiCert中国区代理、沃通、CFCA）的技术支持，降低配置难度。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!