一、第三方CA机构签发内网专用证书(推荐高安全性场景)
适用对象:对安全性要求极高、预算充足的企业(如金融机构、大型企业内网系统)
申请流程:
选择CA机构:如JoySSL、GlobalSign等支持内网IP证书的机构,对比价格、技术支持、证书兼容性。
注册账号:访问官网完成注册,填写注册码(如230952)可享优惠。
选择证书类型:
DV型IP证书:仅验证IP所有权,签发快(10分钟内),适合测试环境。
OV型IP证书:需验证IP所有权及企业信息,签发时间1-3个工作日,满足等保/密评要求。
提交申请资料:
填写IP地址、企业信息、联系人方式。
上传CSR文件(通过OpenSSL生成,示例命令:openssl req -new -key private.key -out server.csr -subj "/C=CN/ST=省份/L=城市/O=组织名称/CN=192.168.1.100")。
验证所有权:
在指定IP的服务器上放置验证文件,或开放80/443端口供CA访问。
签发与部署:
审核通过后下载证书包,按指南部署到Nginx/Apache等服务器(如Nginx配置示例:ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/private.key;)。
二、企业自建内网CA签发证书(推荐中大型企业)
适用对象:有一定技术能力、需管理多台内网设备的企业
实现步骤:
搭建CA基础设施:
使用OpenSSL创建CA目录结构(如/etc/pki/CA/),生成CA私钥(4096位)和自签名证书(示例命令:openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650)。
生成设备证书:
在内网设备上生成私钥和CSR(CN填写内网IP)。
签发证书:
将CSR提交至CA服务器,执行签发命令(如openssl ca -in device.csr -out device.crt -days 365)。
部署证书:
将设备证书(device.crt)和CA根证书(cacert.pem)配置到服务中,客户端需信任CA根证书以避免警告。
适用对象:内部测试、开发环境或对安全性要求不高的场景
操作步骤:
生成私钥与CSR:
使用OpenSSL生成2048位RSA私钥(openssl genrsa -out private.key 2048)和CSR。
生成自签名证书:
设置有效期(如365天),示例命令:openssl x509 -req -days 365 -in server.csr -signkey private.key -out server.crt。
部署到服务:
将private.key和server.crt配置到服务器,客户端需手动信任证书以消除警告。
关键注意事项
端口开放要求:
验证阶段需临时开放80/443端口,验证完成后可关闭。
证书有效期管理:
定期检查证书有效期(如提前30天设置提醒),避免服务中断。
内网IP固定性:
确保申请证书的内网IP为静态IP,动态IP需通过专业CA机构(如JoySSL)解决。
扩展验证(EV)限制:
EV证书不支持IP地址申请,仅限域名。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。