CFCA是什么

更新时间:2025-10-01 来源:TopSSL AI 助理 作者:TopSSL AI 助理

CFCA是什么?

CFCA(China Financial Certification Authority,中国金融认证中心)是经中国人民银行批准设立、国家信息安全管理机构认可的国家级权威电子认证服务机构,也是我国首家自建根证书体系、全部基础设施部署于境内的SSL证书颁发机构(CA)。它不依赖境外收购或迁移,所有根证书均在中国大陆生成与存储,完全符合《中华人民共和国密码法》《电子签名法》及GM/T 0024-2014国密SSL规范要求。CFCA不仅是国内银行业证书市场占有率第一的CA,更是唯一同时获得微软、Mozilla、谷歌、苹果四大浏览器根证书库全入根,且具备LEI(全球法人识别编码)验证代理资质的中国CA。其签发的SSL证书在Chrome、Firefox、Safari、Edge及国产主流浏览器(如360、红莲花、奇安信可信浏览器)中默认受信任,无需额外安装中间证书。

CFCA SSL证书的技术定位

根证书自主可控,全栈国产化支持

CFCA拥有完整的国产密码算法支持能力,可签发SM2/SM3/SM4国密算法证书,并兼容RSA双证书体系。其国密SSL证书已通过华测、沃通等多家国产浏览器预置信任,广泛应用于政务云、金融核心系统、央企OA平台等高安全等级场景。相比国际CA,CFCA对中文域名、.gov.cn/.org.cn等特殊后缀的验证流程更适配国内注册体系。

严格遵循CA/B论坛基线要求与WebTrust审计

CFCA连续多年通过WebTrust国际审计,其证书生命周期管理(申请、验证、签发、吊销、OCSP响应)完全符合CA/Browser Forum Baseline Requirements v2.0+标准。例如:DV证书仅需域名控制权验证(DNS/HTTP/WHOIS已弃用),OV/EV证书则强制核验营业执照原件、法人身份、办公地址真实性,并要求CSR中DN字段顺序(CN→OU→O→L→ST→C)与证件严格一致。

CFCA证书类型与适用场景

证书类型验证强度典型用途
CFCA DV SSL证书域名所有权验证政府子站、教育二级域名、测试环境HTTPS快速启用
CFCA OV SSL证书组织真实性+域名双重验证企业官网、招投标平台、医保服务平台(需显示单位全称)
CFCA EV SSL证书现场尽调+法律文件核验网银登录页、证券委托系统、跨境支付接口(绿色地址栏)
CFCA国密OV证书(SM2)国密算法+组织验证等保三级政务系统、军工供应链平台、信创云环境

工程实践中的关键限制

CFCA不支持通配符证书用于二级以上子域(如*.a.b.example.com),且OV/EV证书签发周期为3–5个工作日——这是因人工核验营业执照原件、实地电话回访等环节不可绕过。曾有客户在阿里云WAF上误配CFCA证书链(漏传中间证书),导致iOS 17+设备出现NET::ERR_CERT_AUTHORITY_INVALID,最终通过SSL证书链下载工具补全完整链才恢复信任。此外,CFCA证书不支持Let’s Encrypt式自动化续期,必须人工提单更新。

常见问题

Q:CFCA证书能在微信小程序里用吗?

A:可以。微信基础库2.0.9+已内置CFCA根证书,但需确保服务器返回完整证书链(含CFCA EV Root和Intermediate),否则iOS端可能提示“证书不受信任”。

Q:CFCA国密证书是否支持Nginx?

A:支持。需使用OpenSSL 1.1.1k+编译国密模块,并配置ssl_certificate指向SM2证书PEM,ssl_certificate_key指向SM2私钥。详细步骤见国密SM2证书Nginx安装指南

Q:CFCA证书能保护IP地址吗?

A:不能。CFCA仅签发域名型证书,公网IP需通过云厂商SLB或CDN反向代理绑定域名后实现HTTPS加密。

相关知识链接

立即探索,帮您快速寻找适合您的SSL数字证书 申请SSL证书
免费SSL证书申请|HTTPS加密|企业级SSL证书服务 – TopSSL
提供免费与付费SSL证书申请
微信公众号二维码 扫一扫在线咨询
关注 TopSSL 公众号, RSS订阅SSL资讯与技术支持

2004-2026 ©北京传诚信  版权所有 | TopSSL提供免费SSL证书与企业级付费证书申请,快速实现HTTPS加密  北京市朝阳区鹏景阁大厦16层

技术协助:wo@topssl.cn 企业咨询:vip@topssl.cn