证书选型案例及流程
场景化极速选型
场景一:个人业务或非商业性网站
- 适用场景:个人博客、作品展示、本地开发测试、教学演示等非商用、非生产场景。
- 业务特征:
- 无数据传输业务
- 网站用来展示纯信息或内容
- 推荐证书类型:
场景二:中小企业线上业务(官网、电商、小程序等)生产环境
- 适用场景:面向公众提供服务的业务系统,涵盖企业官方网站、微信小程序后端服务、中小型电商平台以及SaaS应用入口等。
- 业务特征:
- 有严格的数据保密要求
- 无需在网站地址栏展示身份信息
- 网站后期有多个新增站点的需求
- 推荐证书类型:OV型证书。证书加密算法更强,适用于中小企业的网站、APP应用、小程序等。认证强度相对较高,验证组织及企业真实性和域名所有权。若需保护多个子域名,优先选择OV泛域名证书。不同类型证书差异详情请参见证书类型。
场景三:金融、银行、保险等高公信力行业,适配高可信业务生产运行环境
- 使用场景:关键业务系统(如政务平台、网银、支付网关、证券交易、大型企业门户等)须运行于安全与合规性达最高等级的生产环境。
- 业务特征:
- 有严格的数据保密要求
- 希望在网站地址栏展示身份信息
- 推荐证书类型:EV型证书。证书加密算法更强,适用于大型政企/电商/教育/金融/银行/医疗等行业的平台网站、APP应用、小程序等。安全等级最高,严格验证组织及企业真实性和域名所有权。不同类型证书差异详情请参见证书类型。
场景四:特殊需求(国密合规或IP地址)
- 需满足国密 SM2 合规要求(如政务、金融)
- 适用场景:需遵循商用密码管理规范、采用 SM2 国密算法的政务云、金融系统及关键基础设施。
- 推荐证书类型:SM2 国密证书。支持SM2算法的证书类型请参见证书支持的加密算法。
- 服务通过IP地址访问(无域名)
- 依托IP地址对外提供服务、不支持域名配置的设备与系统,含物联网网关、边缘服务器、老旧业务系统等。
- 推荐证书类型:IP证书。
证书选型流程
| 步骤 | 说明 |
|---|---|
| 确认证书使用场景 | 应用场景为个人业务或非商业性网站?→选择测试证书 用于生产环境?→选择正式证书 |
| 确定域名类型 | 仅保护单个域名?→选择单域名。 需保护多个不同域名?→选择多域名。 需保护同一主域名下的所有子域名?→选择泛域名,例如*.example.com(可保护a.example.com、b.example.com、......,但是不包含a.a.example.com)。 需要通过公网IP地址直接访问?→选择IP证书 |
| 确定证书认证强度 | 仅需HTTPS加密,认证强度较低?→选择DV型证书 有严格的数据保密要求,但无需在网站地址栏展示身份信息?→选择OV型证书 属于金融、政务等高合规要求场景?→选择EV型证书 |
| 确定证书品牌 | 根据预算确定证书品牌。 若需申请国密证书,请选择国产证书品牌,如CFCA或vTrus。 |
| 确定加密算法 | 追求广泛兼容性?(支持主流浏览器和全平台操作系统)→申请证书时选择RSA算法 主打高性能与高安全,适配移动端、物联网设备等场景?→申请证书时选择ECC算法 业务需满足国密合规标准,适用于政务、金融、国企等领域?→申请证书时选择SM2 算法 |