Chromium 国密版是基于 Chromium 定制的浏览器版本,加入了面向国密通信测试和使用的 TLCP 支持。项目属于 GmSSL 项目的一部分,适合用于访问支持 TLCP、SM2、SM3、SM4 的 HTTPS 服务。
- 支持通过 HTTPS 地址访问 TLCP 服务。
- 支持 TLCP 服务器证书链验证。
- 支持设置专用的 TLCP 根 CA 证书库。
- 支持查看、导入和移除 TLCP 根 CA 证书。
- 在“关于 Chromium”页面显示国密版 Commit 和构建日期。
下载发布页中的安装程序:
mini_installer.exe
直接运行即可安装。默认安装到当前用户目录下的 Chromium 应用目录,不需要另外复制 chrome.exe、chrome.dll 或其他依赖文件。
安装后打开:
设置 -> 国密
页面中包含两个主要设置区域。
“TLCP根CA证书库”用于管理 TLCP 协议专用的可信根 CA 证书。TLCP 服务器证书链验证只信任这个专用证书库中的根 CA,不直接使用系统或 Chromium 原有 TLS 根证书库。
可以在这里:
- 导入 PEM 格式的根 CA 证书文件。
- 查看已导入的证书。
- 移除不再信任的根 CA 证书。
如果访问测试网页时,服务器证书链不能追溯到这里已信任的根 CA,浏览器将无法建立有效连接。
安装包中预置了 6 张国密 SM2 根 CA 证书,用于 TLCP 测试和兼容性验证。当前预置证书的主体机构包括:
- NRCAC / ROOTCA
- CFCA,中国金融认证中心,官网:https://www.cfca.com.cn
- GDCA,数安时代,官网:https://www.gdca.com.cn
这些根 CA 的用途是作为 TLCP 服务器证书链验证的信任锚。用户在生产环境中应根据自己的业务和安全策略导入、保留或移除根 CA。
“协议”区域提供“HTTPS 兼容模式”开关。
默认开启时:
- 浏览器访问
https://地址时,会先尝试使用 TLCP 连接。 - 如果服务器不支持 TLCP,再回退到标准 TLS 1.3 / TLS 1.2。
- 适合同时访问 TLCP 测试服务和普通 HTTPS 网站。
关闭时:
- 浏览器访问
https://地址时,只使用 TLCP。 - 如果服务器不支持 TLCP,连接会失败。
- 适合强制验证服务端是否真正支持 TLCP。
访问 TLCP 测试服务前,请确认:
- 服务端使用 TLCP 协议。
- 服务端证书链对应的根 CA 已经在“设置 -> 国密 -> TLCP根CA证书库”中。
- 如果测试服务使用自签名根 CA,需要先导入对应 PEM 根证书。
普通 HTTPS 网站在兼容模式开启时仍可访问;在强制 TLCP 模式下,如果网站不支持 TLCP,则会连接失败。
GmSSL 项目:https://github.com/GmSSL