CFCA是什么?
CFCA(China Financial Certification Authority,中国金融认证中心)是经中国人民银行批准设立、国家信息安全管理机构认可的国家级权威电子认证服务机构,也是我国首家自建根证书体系、全部基础设施部署于境内的SSL证书颁发机构(CA)。它不依赖境外收购或迁移,所有根证书均在中国大陆生成与存储,完全符合《中华人民共和国密码法》《电子签名法》及GM/T 0024-2014国密SSL规范要求。CFCA不仅是国内银行业证书市场占有率第一的CA,更是唯一同时获得微软、Mozilla、谷歌、苹果四大浏览器根证书库全入根,且具备LEI(全球法人识别编码)验证代理资质的中国CA。其签发的SSL证书在Chrome、Firefox、Safari、Edge及国产主流浏览器(如360、红莲花、奇安信可信浏览器)中默认受信任,无需额外安装中间证书。
CFCA SSL证书的技术定位
根证书自主可控,全栈国产化支持
CFCA拥有完整的国产密码算法支持能力,可签发SM2/SM3/SM4国密算法证书,并兼容RSA双证书体系。其国密SSL证书已通过华测、沃通等多家国产浏览器预置信任,广泛应用于政务云、金融核心系统、央企OA平台等高安全等级场景。相比国际CA,CFCA对中文域名、.gov.cn/.org.cn等特殊后缀的验证流程更适配国内注册体系。
严格遵循CA/B论坛基线要求与WebTrust审计
CFCA连续多年通过WebTrust国际审计,其证书生命周期管理(申请、验证、签发、吊销、OCSP响应)完全符合CA/Browser Forum Baseline Requirements v2.0+标准。例如:DV证书仅需域名控制权验证(DNS/HTTP/WHOIS已弃用),OV/EV证书则强制核验营业执照原件、法人身份、办公地址真实性,并要求CSR中DN字段顺序(CN→OU→O→L→ST→C)与证件严格一致。
CFCA证书类型与适用场景
| 证书类型 | 验证强度 | 典型用途 |
|---|---|---|
| CFCA DV SSL证书 | 域名所有权验证 | 政府子站、教育二级域名、测试环境HTTPS快速启用 |
| CFCA OV SSL证书 | 组织真实性+域名双重验证 | 企业官网、招投标平台、医保服务平台(需显示单位全称) |
| CFCA EV SSL证书 | 现场尽调+法律文件核验 | 网银登录页、证券委托系统、跨境支付接口(绿色地址栏) |
| CFCA国密OV证书(SM2) | 国密算法+组织验证 | 等保三级政务系统、军工供应链平台、信创云环境 |
工程实践中的关键限制
CFCA不支持通配符证书用于二级以上子域(如*.a.b.example.com),且OV/EV证书签发周期为3–5个工作日——这是因人工核验营业执照原件、实地电话回访等环节不可绕过。曾有客户在阿里云WAF上误配CFCA证书链(漏传中间证书),导致iOS 17+设备出现NET::ERR_CERT_AUTHORITY_INVALID,最终通过SSL证书链下载工具补全完整链才恢复信任。此外,CFCA证书不支持Let’s Encrypt式自动化续期,必须人工提单更新。
常见问题
Q:CFCA证书能在微信小程序里用吗?
A:可以。微信基础库2.0.9+已内置CFCA根证书,但需确保服务器返回完整证书链(含CFCA EV Root和Intermediate),否则iOS端可能提示“证书不受信任”。
Q:CFCA国密证书是否支持Nginx?
A:支持。需使用OpenSSL 1.1.1k+编译国密模块,并配置ssl_certificate指向SM2证书PEM,ssl_certificate_key指向SM2私钥。详细步骤见国密SM2证书Nginx安装指南。
Q:CFCA证书能保护IP地址吗?
A:不能。CFCA仅签发域名型证书,公网IP需通过云厂商SLB或CDN反向代理绑定域名后实现HTTPS加密。
京公网安备11010502031690号
网站经营企业工商营业执照
