双算法SSL证书
自动化管理解决方案

一次改造，同时解决证书自动化、国密改造、后量子密码迁移、
WAF防护四大难题

智慧医院密码保障体系：亟需一次升级解决五大难题
一次改造，同时完成证书自动化、国密改造、后量子密码迁移、WAF防护

一、智慧医院密码安全现状：五大难题正在叠加

医院信息化建设已高度成熟，互联网医院、挂号缴费、电子病历、检验报告、远程会诊……数十甚至上百个Web应用支撑着医疗服务的日常运转。然而，在这些系统的背后，一个基础却关键的HTTPS加密与密码保障，正面临着五大难题叠加的严峻挑战。

难题一：证书自动化改造，2027年大限迫在眉睫，通配证书“省事”时代终结

SSL证书有效期已缩短至200天，2027年3月将进一步缩短至100天，2029年将降至47天。更紧迫的是，2026年突击采购的最后一批一年期证书将在2027年3月集中到期。届时，如果不能实现证书自动化，运维团队将在短短几周内面临数千次证书更换操作，业务中断风险呈指数级上升。不实现自动化，2027年3月就是业务停摆的“死线”。

过去，许多医院图省事，一张通配证书覆盖所有子域名，私钥经手多人通过各种方式在数十台服务器中共享部署使用。任何一处泄露，所有网站全部沦陷。不断缩短的证书有效期，使得通配证书这一被使用了32年的“省事”方案彻底失效！

难题二：国密改造，传统改造方案不支持前向安全，必须二次改造

《密码法》、密评等政策法规明确要求医院重要信息系统必须使用国密算法并完成密评。许多医院正在或已完成国密改造，但传统方案基于TLCP协议（对标TLS 1.2），不支持前向安全。一旦国密SSL加密证书私钥泄露，攻击者可以解密所有历史加密数据，患者病历、检验报告、身份信息，将无一幸免。

同时，国密SSL证书的有效期也会同步缩短，也需要实现自动化管理。已经改过的，还得再改（升级到TLS 1.3国密+前向安全）。

难题三：混合PQC加密改造，“先收集后解密”威胁已经存在，必须马上行动

“先收集后解密”攻击已是现实威胁。攻击者现在就可以大量收集采用传统密码加密的数据并长期保存，等待未来量子计算机成熟后批量破解。医疗数据保密期长达30-50年，今天不保护，将来可能全部成为明文！

全球超过68%的互联网流量已启用后量子密码HTTPS加密，而我国医院尚属空白。每延迟一天，患者数据泄露的风险就增加一分。

难题四：后量子密码迁移，2029年大限，3年内必须完成

无论现在使用国际RSA/ECC算法还是国密SM2算法，传统密码算法在量子计算机面前都不堪一击。国际共识已明确：传统密码算法将于2030年弃用、2035年禁用。谷歌更率先将内部系统PQC迁移期限提前至2029年。从现在算起，留给医院的纯后量子密码迁移时间不足3年，必须提前布局，避免届时仓促应对、二次投资。

难题五：WAF设备升级改造，传统WAF不支持证书自动化，将成“废铁”

等保2.0要求网站必须部署WAF防护。然而，传统WAF设备需要人工每半年、每季度、每个月导入私钥和SSL证书，一旦遗漏，WAF因证书过期无法解密HTTPS流量，业务中断。更严重的是，传统WAF设备和云WAF服务普遍不支持国密算法，国密改造后WAF只能防护明文流量。不支持证书自动化的WAF设备，在证书有效期不断缩短的时代，就是一堆废铁。

以上五大难题叠加，传统“头痛医头”的方案已经彻底走不通。

二、市场上现有方案为什么不行？

面对五大难题，市场上存在多种“点状”解决方案，但无一能一揽子解决：

(1) 突击采购的一年期证书：

只能拖延到2027年3月，到期之后怎么办？

(2) 部署ACME客户端：

只能解决国际证书自动化，不支持国密算法、后量子密码算法，且需每台服务器安装ACME客户端软件。

(3) 传统国密SSL网关：

不支持证书自动化，不支持后量子密码，不支持国密TLS 1.3前向安全。

(4) 3年内单独采购PQC网关：

重复投资，且需二次部署、二次集成。

(5) 继续使用通配证书：

私钥共享，一损俱损，证书有效期越短越危险，已经不再“省事”。

这些方案不仅无法同时解决五大难题，反而导致设备堆叠、运维复杂、投资浪费。医院需要的是一次改造、同步解决的一体化方案。

三、数字认证方案：一台网关，同步解决四大核心升级

数字认证深耕密码应用二十余年，专为医院打造了数字认证SSL自动化网关。一台设备（默认双机热备），前置部署于医院数据中心，无需改造现有Web服务器，即可同时完成证书自动化、国密改造（TLS 1.3前向安全）、后量子密码迁移、WAF防护升级，顺带解决IPv6改造。

3.1 证书自动化：多CA自动切换，5年零运维

多CA自动切换：

已对接多家国际CA和国密CA，毫秒级故障切换，确保证书永不断供。

全自动生命周期管理：

自动完成证书申请、验证、部署、续期，5年零运维。

一站一密钥一证书：

每个网站独立私钥、独立证书，彻底告别通配证书共享密钥的“一损俱损”的风险。

提前应对2027年大限：

突击采购的一年期证书到期前，网关自动接管所有网站HTTPS加密，无缝切换至自动化证书管理，业务零中断。

支持公网域名、内网IP、内部主机名，覆盖医院所有互联网应用及内网系统。网关有100个网站和255个网站两个规格，可根据未来发展灵活选择。

3.2 国密改造：TLS 1.3前向安全，无需二次改造

原Web服务器零改造：

网关前置部署，自动实现国密HTTPS加密，无需修改HIS、LIS、PACS等业务系统代码。

率先支持TLS 1.3国密算法：

实现前向安全，确保即使未来私钥泄露，历史加密数据也无法被解密。

国密证书自动化：

国密OV证书自动签发、自动续期，无需二次改造。

3.3 混合PQC加密就绪 + 后量子密码平滑迁移，最可靠的量子安全方案

全球独家支持双混合PQC算法：

国密混合PQC（SM2MLKEM768，IANA编号4590）+ 国际混合PQC（X25519MLKEM768，IANA编号4588）。网关自适应加密：零信浏览器优先采用国密混合PQC，其他浏览器采用国际混合PQC。

仅支持国际混合PQC是不够的：

第一，不满足国密合规要求（密评强制要求国密算法）；第二，单算法不具备韧性，没有任何一个PQC算法能被证明100%绝对安全。采用国密+国际双混合PQC相当于为量子安全上了“双保险”。

部署即启用：

所有网站即刻获得抗量子攻击能力，有效防御“先收集后解密”威胁。

未来免费升级：

我国正式发布纯国产PQC算法后，网关提供免费在线升级，无缝过渡至纯PQC加密，满足2029年大限。

3.4 A级WAF防护自动化，永不因证书过期失效

一体化架构：

网关先完成HTTPS解密（国际+国密），再将明文流量交给内置WAF模块清洗。

WAF无需持有证书：

永不面临证书过期问题，彻底杜绝传统WAF“证书过期即废铁”的窘境。

A级防护性能：

真阳率98.06%，假阳率0%，满足等保2.0强制要求。

无需单独采购WAF设备，降低总拥有成本。

3.5 IPv6支持，原服务器零改造

网关默认支持IPv4+IPv6双栈，原服务器无需任何改造，自动满足IPv6合规要求。

四、持续服务能力：技术之外，更需可靠保障

技术方案可以复制，可以被模仿，但持续、可靠的服务能力需要多年的积淀。数字认证二十多年服务关键信息基础设施用户的独特价值，不仅在于技术领先，更在于“技术领先 + 服务兜底”的双重保障。

能力维度

数字认证的保障

资质与合规

拥有CA牌照、国密产品资质、等保三级、信创适配认证，二十年服务关基用户零事故

多CA供应链管理

自主对接多家国际CA和国密CA，不依赖任何单一CA，确保证书永不断供

私钥安全保障

网关硬件级私钥生成与存储，私钥永不离开设备，杜绝人为泄露风险

持续运维能力

7×24小时原厂技术支持，5年服务周期内免费升级算法、免费续期证书

应急响应能力

一旦出现CA断供或浏览器不信任事件，数字认证可立即切换证书签发通道，用户业务零影响

五、一次改造，五年无忧：医院的明智之选

数字认证SSL自动化网关，让医院用一次技术改造，同时获得：

证书自动化（应对2027年大限及未来47天有效期，告别通配证书）

国密改造 + TLS 1.3前向安全（无需二次改造）

双混合PQC加密就绪（今天部署今天保护，防御“先收集后解密”）

后量子密码平滑迁移（免费升级，满足2029年迁移大限）

A级WAF防护自动化（永不因证书过期失效，真阳率98.06%）

私钥硬件级保护（一站一密钥一证书，无人能触及）

IPv4+IPv6双栈支持（原服务器零改造）

5年免费硬件更换 + 免费算法升级

数字认证SSL自动化网关，五大难题一次解决；至少双机热备，更有保障；一次投资，五年无忧。

数字认证，SSL证书自动化领导者，以持续二十多年的可靠服务，助力医院从容应对证书有效期缩短、国密合规、量子威胁，切实保障患者医疗数据在量子时代的持续安全。

2027年大限将至，立即行动，让您的智慧医院密码保障体系迈入自动化与量子安全新时代！

双算法SSL证书自动化管理解决方案

一次改造，同时解决证书自动化、国密改造、后量子密码迁移、WAF防护四大难题

智慧医院密码保障体系：亟需一次升级解决五大难题一次改造，同时完成证书自动化、国密改造、后量子密码迁移、WAF防护