零信ACLM网关

对于需要管理大量网站、设备、云服务的SSL证书的网络管理员，他们已经不满足于单一网站证书自动化管理解决方案，他们需要一个集中管理本组织的所有网站、系统、设备、云服务等所需的双算法SSL证书，需要发现整个组织到底有哪些系统部署了SSL证书、何时到期、如何实现这些网站、系统、设备、云服务所需的所有SSL证书的自动化申请、验证、取回、下发、部署、续期、吊销、归档和审计等全生命周期管理。

零信技术把通过商密产品认证的国密HTTPS加密自动化网关的双算法SSL证书自动化管理能力赋能给其他需要SSL证书但又不支持证书自动化的其他系统、设备和云服务，实现集中统一自动化管理所有系统所需的SSL证书的全生命周期管理，简称为ACLM。零信ACLM网关的主角色是自动化证书生命周期管理，集中统一管理公网SSL证书和内网SSL证书；备角色是HTTPS加密自动化网关，用于其他SSL网关设备不可用时的备用设备。

一、产品简介

零信ACLM网关是在零信HTTPS加密自动化网关的基础上增加一个ACLM系统的新硬件产品，也是零信ACLM云服务的本地部署版。这是一个集证书发现、集中监控、自动化证书申请、自动化证书部署、合规审计和风险告警、HTTPS加密卸载转发、后量子密码迁移、WAF防护等功能于一体的综合证书管理系统。它将分散的、孤岛式的ACME证书自动化升级为覆盖整个组织的、统一的自动化管理体系，确保无论是物理服务器、虚拟化平台、容器环境还是云服务上的SSL证书，都能在一个平台上得到全生命周期的自动化管控。

零信ACLM网关与零信ACME网关的本质区别在于维度的不同。ACME网关是“点”上的技术基础，解决“如何自动获取证书”的技术难题，是实现证书自动化的工具；而ACLM网关是在“点”的基础上增加“面”上的管理和实施，解决“如何自动管理好组织中所有证书”的治理难题，是实现数字化转型中安全基座的保障。ACME网关是ACLM网关管理的设备之一，而ACLM网关则是各种需要SSL证书的设备的统一管理平台。

二、主要功能

零信ACLM网关针对高安全需求和对现网业务“零打扰”的严格需求设计，不仅仅是一个集成了ACME客户端的硬件网关，更是一个集证书生命周期管理(CLM)、证书自动化、国密改造、后量子密码迁移、WAF防护等于一体的综合安全设备。它的核心创新在于“CLM硬件化”思想：将CLM模块、ACME服务、国密模块、后量子密码模块、WAF引擎等集成于一体，部署在用户业务服务器前端，不仅为其接入的Web服务器提供证书自动化管理，而且还把其证书自动化管理能力赋能给组织网络架构中不支持证书自动化的其他系统和网络设备，实现统一集中管理组织所有网站、系统、设备和云服务的双算法SSL证书自动化。

零信ACLM网关具有如下4大核心功能：

• 1.软硬一体交付，打造安全可信的自动化中台

  零信ACLM网关将CLM从“软件方案”升级为“硬件解决方案”，采用了软硬件一体化的集成在HTTPS加密自动化网关上的一个功能模块。这样做带来的根本性好处有如下3点：

  高可靠与高性能： 高性能网安硬件提供稳定的计算环境，内置国密与国际密码算法的硬件加速卡，实现SSL/TLS握手与加解密的高性能处理。远超纯软件方案的仅提供证书管理服务，是可以自己下场干活(HTTPS加密)，可用于替代不支持证书自动化管理的传统SSL网关的创新产品。

  边界清晰与易于部署： 作为物理网关设备部署在网络边界或核心区域，无需在每台服务器安装代理软件，原Web服务器零改造，不侵入业务系统，不中断现有业务运行，简化架构，无缝部署，大大降低运维复杂度。

  自成安全域： 网关设备基于高端网安硬件平台，本身具备高强度安全加固，提供内置通过商密产品认证的密码卡，可保障ACME密钥和SSL证书私钥的安全管理。所有SSL证书私钥不出网关硬件，杜绝证书私钥泄露风险，安全级别远远高于传统人工管理证书私钥的多人多途径交接方式。

• 2.双算法与后量子密码的“平滑迁移引擎”

  零信ACLM网关内嵌 “双算法证书自动化引擎” ，自动对接零信云SSL服务系统，实现多CA签发通道自动切换的双算法RSA/ECC与SM2 SSL证书的申请、验证、签发取回部署、续期等，实现与浏览器自动协商最优算法。更重要的是，这是一个兼容传统密码算法和后量子密码算法的双密码体系就绪架构：

  混合PQC算法：马上实施关键核心业务系统同时支持国际混合PQC混合算法X25519MLKEM768和国密混合PQC算法SM2MLKEM768的HTTPS加密，优先采用PQC算法，并与零信浏览器紧密配合优先采用SM2MLKEM768算法，同时满足我国关基用户的国密合规和后量子密码迁移需求。

  纯PQC算法：当PQC算法SSL证书得到CA和浏览器的全面支持后，可通过免费系统升级，无缝增加PQC算法SSL证书管理能力和纯PQC算法HTTPS加密能力。

  传统SM2/ECC/RSA算法：不仅支持混合PQC算法，而且对于不支持PQC算法的国密浏览器优先采用SM2算法，而对于不支持PQC算法和/或SM2算法的其他浏览器，则兼容传统RSA/ECC算法。

  公网和内网SSL证书：不仅支持自动化管理公网SSL证书，而且还可以自动化管理内网SSL证书(绑定内网IP地址)，实现内外网业务系统的统一管理和统一安全基线。

• 3.不止于CLM，融合WAF与统一管控能力

  零信ACLM网关超越了传统CLM的范畴，深度融合了关基系统必须具备的以下安全防护能力：

  集成WAF防护： 在提供HTTPS加密的同时，对解密后的HTTP流量进行实时应用层安全检测与防护，防御SQL注入、XSS、CC攻击等常见Web威胁，一举两得，彻底解决用户部署的传统WAF设备不支持证书自动化的难题。

  集群化统一管控： 通过一个中央管理平台，可统一管理成百上千台分布式部署的服务器、网关设备和负载均衡器等，以及这些设备所服务的所有Web站点、云CDN/WAF服务的证书状态。实现最安全的“一站一密钥一证书”部署管理，彻底杜绝了传统人工证书管理的一张通配证书和一份私钥到处共享使用的不安全部署方式。

  全生命周期可视化： 提供驾驶舱式可视化大屏，全局展示证书资产地图、到期热力图、合规状态、算法分布，并提供预警、报表与审计日志。

• 4.灵活的部署与服务模式

  零信ACLM网关不仅可以作为独立SSL网关替代传统不支持证书自动化的SSL网关和WAF设备，而且还可以为现有设备提供双算法SSL证书自动化管理服务。不仅支持为本地设备提供CLM服务，而且支持为不在本地机房的云端Web应用提供CLM服务。

  独立网关模式： 直接作为Web服务器前置网关，提供HTTPS加速与卸载、双证书自动化与WAF防护。

  证书管理中台模式： 为现有网络架构（如负载均衡设备、Web集群）或CDN/WAF云服务提供统一的证书供给与更新服务，无需改变现有网络拓扑。

  混合云支持： 支持在物理机房、私有云、公有云中部署，即插即用，统一管理Web服务节点与边缘网关，适应复杂的混合IT架构。

三、功能模块和管理界面

零信ACLM网关除了HTTTPS加密自动化网关所提供的12大功能模块外，主要提供以下12大证书管理功能模块：

• 1

  域名管理

  用户可以手动录入或批量导入需要管理的单位域名，系统会自动发现此域名包括子域名目前已经申请了所有有效期SSL证书，并且可以为每个网站购买证书自动化服务，当然也支持传统人工申请证书。
• 2

  订单管理

  管理用户使用免费国密ACME服务和收费ACME服务的每个订单，也可以管理用户手动申请的SSL证书订单。
• 3

  证书管理

  展示所有发现的已签发的国际SSL证书和国际SSL证书详细信息，包括目前的证书状态(有效、过期、吊销)、剩余天数、交付情况(已交付/未交付)、PQC就绪和部署设备情况等。
• 4

  设备管理

  展示所有部署了SSL证书的设备信息，如：设备类型、设备名称、公网IP地址、内网IP地址、设备位置、运行网站数量、部署证书数量、支持ACME、管理员信息等。
• 5

  PQC就绪

  展示所管理的已部署证书的网站是否支持两个混合PQC算法：X25519MLKEM768 或SM2MLKEM768，如果支持，则显示“就绪”。以便用户实时掌握组织的PQC迁移情况。
• 6

  单位管理

  单位信息管理，可管理集团下所有单位，已完成身份认证的单位名称置灰不能修改。显示单位名下域名数量、证书数量和交付网站数量。
• 7

  用户管理

  系统用户管理，用户类别分为管理员、运维人员、审计人员，以及显示这些用户的联系信息和系统访问权限。
• 8

  报表管理

  可自动生成周报、月报、年报，并展示报表详细信息，主要包括：时间段、有效国密证书数量、有效国际证书数量、即将过期证书、各签发CA的证书数量、DV/OV/EV证书数量、域名数量、网站数量、不同部署设备的网站数量等。
• 9

  签发根管理

  管理签发国际SSL证书和国密SSL证书的顶级根证书和中级根证书，管理为用户定制两个零信浏览器信任的内网中级根证书和零信浏览器不信任的两个自签中级根证书，并统计这些中级根证书签发了多少张证书。
• 10

  集成API管理

  管理API接入的设备的token和securekey，设置允许接入设备IP地址、允许申请证书的域名设置。设置CDN服务商API的token和securekey，以便能为CDN服务启用ACME证书服务。
• 11

  日志管理

  列出各个操作和运行日志，供安全审计用。包括用户登录记录、证书下单记录、证书正常续期记录、定时续期不成功记录(发邮件通知)、API接入成功记录等。
• 12

  系统设置

  包括各种通知模板设置、通知方式设置、系统访问控制、口令策略等各种系统级管理需要的各种参数设置。

零信ACLM系统提供驾驶舱式可视化大屏，全局展示证书资产地图、到期热力图、合规状态、算法分布，并提供预警、报表与审计日志等。特别是有一个PQC就绪二维图，直观展示了组织目前所有网站系统中有多少比例的网站已经完成后量子密码迁移。还有一个国密就绪二维图，直观展示了组织目前所有网站系统中有多少比例的网站已经完成国密改造。

四、性能指标与部署方案

零信ACLM网关分两个不同的规格，一个仅提供ACLM服务，一个是同时提供ACLM服务和ACME网关服务。前者内置4个内网SSL证书签发中级根密钥，可为用户提供内网SSL证书自动化签发服务。后者虽然也可以为用户提供内网SSL证书自动化管理，但是不支持定制内网SSL中级根，内网SSL证书从零信公用内网SSL中级根签发。后者CPU分Intel和海光两类，每类又分支持100个网站或255个网站。

各种型号的产品性能指标参数如下表所示，对于有不同指标要求的用户，可以定制产品满足要求。

对于仅提供ACLM功能ACLM网关（型号MG-1-5）无需公网IP地址，只需能上互联网和连接内网即可。对于需要同时提供自动化网关功能的ACLM网关（型号MG-8-5和MG-9-5），则需要同其他类型的零信HTTPS加密自动化网关一样的部署。

如果用户不方便部署零信ACLM网关硬件设备，可以选择在自己机房的服务器或容器上部署零信ACLM系统，实现同零信ACLM网关(MG-1-5)一样的ACLM功能。

五、零信ACLM网关——通往全方位安全防护的必由之路

零信ACLM网关通过将CLM与密码加速、安全防护、统一管控能力固化于专用的安全硬件中台，不仅彻底解决了证书自动化管理的运维难题，更是一站式解决了关基用户急需完成的国密改造、后量子密码迁移、HTTPS流量安全防护三大关键防护任务。安全防护体系的升级不再是单点补强，而是面向整体安全能力的架构重塑。零信ACLM网关为大中型组织的数字业务打造一个既坚固又智能、既能应对当下又能面向未来的安全基石。

对于拥有多个网站、系统、设备和云服务的大中型组织而言，需要的不仅仅是ACME，而是对ACME的统一管理和调度——也就是ACLM。 ACME解决了“怎么做”的问题，而ACLM解决了“怎么管好”的问题。一个优秀的ACLM方案，能将所有ACME服务纳入统一视图，能将人工申请的证书与自动申请的证书混合编排，能将国际算法与国密算法的支持无缝融合，能将传统密码算法和后量子密码算法混合应用并支持无缝迁移，能将证书的生命周期状态以报表和告警的形式实时呈现给管理者。ACLM是自动化证书管理的终极方案，零信ACLM网关让被动地管理SSL证书，进化为主动地自动地构建加密敏捷的数字信任基础设施。