yanshichao0226

当前暂未整理apache相关配置说明书，可参考以下说明： 1. 配置httpd时需使用tassl库，例如 ./configure --prefix=/usr/local/apache --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --enable-ssl --with-ssl=/root/tassl，其中--with-ssl后跟tassl安装路径 2. httpd-ssl.conf中配置双证书 

标准nginx+TASSL-1.1.1k可以实现国密的web server/反向代理。由于国密SSL使用不同的版本号，无法兼容标准版本实现正向代理，需要改造nginx

如果nginx要实现国密客户端功能的话，nginx需要改造。可以参考https://github.com/jntass/Nginx_Tassl

修复了这个问题，更新一下试试

 对证书的扩展字段keyusage有限制，签发过程参考tassl_demo/cert/openssl.cnf中的v3_req和v3enc_req

是的

tassl用此项区分签名证书和加密证书；签发的时候可以把这几项都带上

可以，后续会增加其它字段的检查

问题已修复，sm2test.ovssl.cn:443建链正常

你在测试国密SSL还是RFC8998的国密套件？ 1. 国密SSL的client hello/server hello不需要supported_groups扩展； 2. 至于rfc 8998国密套件TLS_SM4_GCM_SM3/TLS_SM4_CCM_SM3，因为supported_groups中的曲线id用来协商握手过程中的签名算法/密钥协商算法使用的曲线ID，这两个套件签名算法默认使用SM2_SM3，密钥协商算法使用的标准EC，都没有用到这个id，所以我们的实现中没有加。不过rfc 8998中明确了supported_groups出现的话就要加SM2 id，后面可能会考虑加上