很多小伙伴需要内网IP地址也实现HTTPS加密,而就目前来说,支持内网IP地址https加密的SSL证书有锐安信(sslTrus)、CFCA等,当我们获取到内网IP SSL证书后,需要在服务器(常见类型如Nginx,Apache,Tomcat,IIS等)上完成配置。其实内网IP地址实现https认证的过程与域名ssl证书安装教程类似,我们在前面的教程中也一一介绍过,大家可以参考一下,不过还有一个重要的步骤是进行根证书导入,下面我们将分别介绍。
服务器配置参考教程:
- Exchange 2013/2016安装SSL证书步骤
- Tomcat服务器安装锐安信ssl证书教程
- Nginx服务器安装锐安信ssl证书教程
- IIS服务器安装锐安信ssl证书教程
- Apache服务器安装锐安信ssl证书教程
但是,当完成服务器端配置内网IP 证书后,用户还需要进行根证书导入客户端才能最终实现https加密,并消除不安全警告。
客户端导入IP根证书方案
客户端导入根证书有两种方案:一种是域控推送方式,二是脚本运行方式。
方案一:域控推送根证书
此方案适用于在内网环境下有大量用户客户端的企业。通过域控推送根证书,域中所有用户自动接收根证书,免去在每个客户端单独导入操作的麻烦。具体步骤如下:
1、在域控上,用管理员身份登录,运行gpmc.msc 组策略管理器。
2、进入林,编辑默认GPO,或者添加新GPO。
3、依次展开【计算机配置】-【策略】-【windows设置】-【安全设置】-【公钥策略】-【受信任的根证书颁发机构】。
4、导入锐成提供的根证书。
5、导入成功后,每台客户端会在90分钟内自动更新组策略,或者通过使用gpupdate /force命令强制进行更新默认域策略。
6、至此,域中的所有用户都将收到来自域控推送的根证书。
方案二:脚本导入根证书
本方案适合没有域控或者不愿意做组策略的用户。具体步骤如下:
1、通过脚本导入根证书,需要打开“Windows powershell”,在powershell中输入:Import-Certificate -FilePath "ssltrus-g1.der" -CertStoreLocation cert:\CurrentUser\RootPs: 引号中的内容为根证书目前存放的实际路径
2、点击“是”,导入成功,如下图
用户可根据自身情况选用导入根证书方案,完成内网IP SSL证书的配置,实现内网环境下传输数据加密和身份认证。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。