公网/内网IP地址实现HTTPS访问的完整指南

一、前期准备

固定IP地址

确保服务器IP地址固定，动态IP可能导致证书失效。

选择证书类型

IP地址专用SSL证书：由CA签发，浏览器信任，适合生产环境，需确认是否为IP地址专用。

二、证书获取与配置

申请IP地址专用SSL证书

IP SSL证书申请注册填写注册码230939获得一对一技术支持

注册CA账号：在CA网站注册一个管理账号

提交证书申请：填写IP地址、联系人信息，选择证书有效期。

验证IP所有权：通过文件验证（在服务器指定路径创建文件）或邮件验证。

下载证书：验证通过后，下载包含.crt证书和.key私钥的压缩包。

三、服务器配置（以Nginx为例）

安装SSL模块

    # 检查是否已安装http_ssl_module
    nginx -V 2>&1 | grep -o with-http_ssl_module
     
    # 若未安装，重新编译Nginx（示例路径）
    ./configure --prefix=/usr/local/nginx --with-http_ssl_module
    make && make install

修改Nginx配置文件

    server {
        listen 443 ssl;
        server_name 192.168.1.100;  # 替换为你的内网IP
     
        ssl_certificate /etc/nginx/ssl/server.crt;  # 证书路径
        ssl_certificate_key /etc/nginx/ssl/server.key;  # 私钥路径
     
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;
     
        location / {
            root /var/www/html;
            index index.html;
        }
    }

重启Nginx

四、测试与验证

浏览器访问

输入IP地址，检查是否显示锁形图标且无安全警告。

五、高级配置（可选）

强制HTTPS跳转

    server {
        listen 80;
        server_name 192.168.1.100;
        return 301 https://$server_name$request_uri;
    }

防火墙设置

开放443端口：

    firewall-cmd --zone=public --add-port=443/tcp --permanent
    firewall-cmd --reload

六、证书管理和维护

证书有效期：设置到期提醒，IP证书按有效期续费。

兼容性：部分老旧系统可能不支持IP地址的SSL证书，需提前测试。

安全性：建议结合VPN或防火墙限制访问权限，避免证书泄露。

通过以上步骤，您可以在内网IP地址上实现安全的HTTPS访问，保护数据传输的机密性和完整性。