360安全浏览器10.1beta版 国密通信协议相关说明

大家好
360安全浏览器10.1beta版本开始支持国密通信协议，需要测试国密功能的用户和开发者请阅读以下信息：

如何启用国密通信协议功能
1.  下载10.1beta版的360安全浏览器
2.  安装完毕，运行，点击[菜单] - [设置]
   

3.  点击[安全设置]选项，在右侧页面底部找到[国密通信协议]，并选中其前面的复选框。
   

4.  浏览器将显示[设置保存成功]，到此国密通信协议功能启用完成。
5.  使用该版本360安全浏览器访问支持国密通信的网站时，浏览器会自动识别并切换至国密通信协议进行接下来的加密通讯过程。


如何信任新的根证书
由于目前浏览器内置的国密根证书有限，如果测试时需要信任新的根证书，有如下两种方法：

第一种方法：
请在地址栏左侧的证书小锁头上点击，显示证书弹窗。


点击[证书信息]，点击最下方的信任按钮




第二种方法：
如果上述操作不能生效，说明证书链不完整。请编辑 %appdata%(或安装路径)\360se6 \User Data\Default\gmssl\ctl目录下的ctl.dat
（如该文件不存在请新建文本文件，注意扩展名[/i]），填入根证书和必要的证书链证书，格式为PEM。


USB智能密码钥匙的SKF驱动位置
目前浏览器支持国密双向认证，浏览器会在注册表以下位置查找USB智能密码钥匙的SKF驱动：
a)
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Defaults\SKF\厂商名
Name：类型：REG_SZ（自定义名称）
Path：类型：REG_SZ（SKF驱动dll路径）
b）
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Defaults\Provider\厂商名
Name：类型：REG_SZ（自定义名称）
SKFImagePath：类型：REG_SZ（SKF驱动dll路径）
c） (不推荐使用)
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Defaults\Provider\厂商名
TokenVidPid：类型：REG_SZ（KEY设备的VendorID和ProductID，采用的格式类似HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB中的格式，也即VID_XXXX&PID_XXXX）
SKFImagePath：类型：REG_SZ（SKF驱动dll路径）


其他

注意：1)国密浏览器的证书体系和传统https非常类似：
      本质就是客户端预埋根证书，服务器配置签名证书，客户端对服务器身份进行校验。
      如果是双向验证，客户端会有Ukey（一般要对应驱动），这是https有的。

     2) 优先用标准网站进行测试，比如中国银行这个网站（这样可以排除自己修改网络协议，证书配置错误等原因）：
         可以安装浏览器后（默认路径c盘），访问https://ebssec.boc.cn/boc15/login.html
         能正常访问，并且看到了进程  360se.exe  -type=sm-utility
        具体里参考下图

     3） 证书可能有过期，证书链的问题，建议最初先用单向，一级证书进行测试，并且保证证书没过期。


目前大部分抓包工具并不能识别国密SSL协议，公网国密网站部署数量较少，中国银行是一个参考：https://ebssec.boc.cn