搜索

---

🗣 Wd提问: nginx gmssl

🤖 Ai回答:
截至当前（2024年），Nginx 官方并不直接支持 GmSSL。

🔍 什么是 GmSSL？

GmSSL 是一个开源的密码工具包，支持中国国家密码管理局（OSCCA）制定的 国密算法标准（GM/T 系列），例如：

SM2（椭圆曲线公钥密码算法）
SM3（哈希算法）
SM4（分组加密算法）
SM9（标识密码算法）

广泛用于政府、金融、电力等对国产密码合规性有要求的行业。

❗ Nginx 原生不支持国密/GmSSL

标准版 Nginx 使用 OpenSSL 或 LibreSSL 作为 SSL/TLS 库，默认不支持 SM2/SM3/SM4 等国密算法，因此无法直接配置国密证书或启用国密协议。

✅ 解决方案：使用支持 GmSSL 的 Nginx 分支或补丁

目前主要有以下几种方式让 Nginx 支持国密：

方案一：使用 [Tongsuo（原 BabaSSL / 原 GmSSL-Nginx 分支）](https://github.com/Tongsuo-Project/Tongsuo)

Tongsuo 是由蚂蚁集团和阿里云维护的 OpenSSL 分支，全面支持国密算法，并兼容 OpenSSL API。这是目前最活跃、推荐度最高的方案。

步骤简述：

1、下载并编译 Tongsuo

bash
git clone https://github.com/Tongsuo-Project/Tongsuo.git
cd Tongsuo
./config prefix=/usr/local/tongsuo
make && make install


2、下载 Nginx 源码并使用 Tongsuo 编译

bash
wget http://nginx.org/download/nginx-1.24.0.tar.gz
tar zxvf nginx-1.24.0.tar.gz
cd nginx-1.24.0

./configure \
with-http_ssl_module \
with-openssl=../Tongsuo \
with-openssl-opt=enable-sm2 enable-sm3 enable-sm4

make && make install


3、配置国密双证书（RSA + SM2）

nginx
server {
listen 443 ssl;
server_name 65.hk;

RSA 证书（兼容老客户端）
ssl_certificate /path/to/rsa_cert.pem;
ssl_certificate_key /path/to/rsa_key.pem;

SM2 证书（国密客户端）
ssl_certificate /path/to/sm2_cert.pem;
ssl_certificate_key /path/to/sm2_key.pem;

启用国密套件
ssl_ciphers ECDHE-SM2-WITH-SM4-SM3:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;

必须启用 TLS 1.2+，国密需要扩展支持
ssl_protocols TLSv1.2 TLSv1.3;
}


💡 注意：浏览器或客户端必须支持国密协议才能使用 SM2 证书。目前主流浏览器（Chrome/Firefox/Safari）不支持国密，仅部分国产浏览器（如 360、红莲花、奇安信等）支持。

方案二：使用商业或定制化 Nginx 版本

一些国内厂商提供已集成国密支持的 Nginx 发行版：

腾讯云 TSE 国密网关
华为云 APIG 国密支持
安恒信息、江南天安、数科网维 等提供的国密中间件/Nginx 定制版

适合企业级用户，省去自行编译和维护的麻烦。

方案三：反向代理 + 国密网关

若不想改动 Nginx，可在前端部署一个支持国密的 SSL 卸载网关（如基于 Tongsuo/OpenResty 定制），后端仍用标准 Nginx。

Client (SM2) → [国密网关: Tongsuo] → [标准 Nginx] → App

🧪 验证是否支持国密

可使用 `openssl`（Tongsuo 版本）测试：

bash
/path/to/tongsuo/bin/openssl s_client -connect yoursite.com:443 -servername yoursite.com -cipher ECDHE-SM2-WITH-SM4-SM3

或使用在线国密检测工具（如 数科网维、密信科技 提供的检测服务）。

📌 总结

| 方案 | 是否推荐 | 说明 |
|
| 使用 Tongsuo 编译 Nginx | ✅ 强烈推荐 | 社区活跃，功能完整，兼容性好 |
| 商业定制版 Nginx | ✅ 企业推荐 | 省事，技术支持完善 |
| 反向代理国密网关 | ✅ 中大型架构适用 | 解耦，灵活部署 |
| 原生 Nginx + GmSSL | ❌ 不可行 | 官方无支持，需打补丁 |

📘 参考链接

Tongsuo GitHub: https://github.com/Tongsuo-Project/Tongsuo
GmSSL 官网（历史项目）: http://gmssl.org （现已停止维护，迁移到 Tongsuo）
国密 SSL 标准: GM/T 0024-2014

如果你需要我帮你写完整的编译脚本或 Nginx 配置示例，请告诉我你的操作系统和需求（比如是否要双证书、是否需要 OCSP Stapling 等），我可以为你定制。

📣 商家广告：

---

---

👍 0 👎

IP地址: 211.204.131.44

搜索次数: 0

提问时间: 2025-11-11 01:02:58

🛒 域名购买：
93.gold
zhanwai.cn
27.gold
3330.com.cn
jldj.cn
qtem.cn
wddd.com.cn
koupin.com.cn
kkky.com.cn
ff.biz

❓️ 热门提问：
日本站群多ip服务器
agps服务器地址
nginx创建虚拟主机
便宜美国虚拟主机
搭建服务器服务
ip地址不一致怎么办
大学机房
cf防沉迷注册网页
ns服务器
香港云服务器平台
豌豆Ai站群搜索引擎系统

🌐 域名评估：
ff.sc.cn
tesla.tj.cn
dd.sc.cn
ev.nx.cn
su.hi.cn
wz.chat
23.plus
vtol.sc.cn
fxtp.cn
rr.xz.cn

⛏ 最新挖掘：
凯里酸汤鱼
贵阳烤脑花
都匀毛尖茶
花溪牛肉粉
贵阳烤生蚝
贵阳烤豆腐
贵阳纸包鱼
贵阳特色菜

🖌 热门作画：

🤝 关于我们:
豌豆Ai 域名 建站 站群 留痕 推广 评估 源码
开发Ai 工具 日记 价格 加盟 广告 流量 留言 联系

🗨 加入群聊：

🔗 友情链接：
搜站  Programa de motor de búsqueda  ai提问

🧰 站长工具：
Ai工具  whois查询  搜索