許多人為局域網(如公司內部OA、智能家居系統)訪問時瀏覽器彈出的“不安全”警告而煩惱。其實,通過為局域網服務配置SSL證書,就能解決這個問題,實現“https”安全訪問。
一、 明確需求:你需要哪種證書?
為局域網申請證書,主要就是以下方法
- 公共可信證書(推薦) :由可信的證書頒發機構(CA)簽發。優點是任何設備訪問都直接信任,無安全警告。
對於絕大多數局域網應用,我們追求便捷和安全,因此申請公共可信證書是更優解。
SSL申請:https://www.joyssl.com/certificate/select/intranet_ip_certifi...
二、 如何申請公共可信證書?
公共CA默認只為公網域名簽發證書。要讓其為局域網IP或域名簽發,需要驗證你對這個地址的所有權。核心步驟如下:
- 擁有一個域名:
你必須有一個自己註冊的公有域名(例如your-company.com)。這是所有操作的基礎。 -
創建DNS解析記錄:
登錄你的域名管理後台,為你局域網的服務器IP地址創建一個DNS解析記錄。有兩種常見方式:- 解析域名到內網IP:例如,創建一個A記錄
oa.your-company.com,將其指向你內網服務器的IP地址192.168.1.100。 - 使用泛解析:創建一個
*.internal.your-company.com的泛解析記錄,指向你的內網網關或服務器,這樣所有子域名都可以使用。
- 解析域名到內網IP:例如,創建一個A記錄
-
選擇CA並申請證書:
前往各大SSL證書服務商(如JoySSL)平台。選擇適合的證書類型(單域名或泛域名)。- 在申請時,通用名稱(CN) 一欄就填寫你剛設置的域名。
- 選擇DNS驗證方式。CA會要求你在域名DNS設置裏添加一條特定的TXT記錄,以驗證你擁有該域名的管理權。按照提示操作即可。
- 驗證並獲取證書:
完成DNS驗證後,CA通常幾分鐘內就會簽發證書。然後在證書管理平台下載頒發的證書文件(一般包含.crt和.key文件)。
三、 在服務器上安裝部署
將下載的證書文件上傳到你的局域網服務器上,並在Web服務軟件(如Nginx, Apache, IIS)中進行配置,指定證書和私鑰的路徑,然後重啓服務。
重要總結
- 核心原理:利用公有域名來“代理”驗證局域網服務的可信性。
- 最大優點:一旦部署成功,局域網內任何設備、任何瀏覽器訪問該服務,都會顯示安全的小鎖標誌,無需每台設備手動安裝證書。
- 最佳選擇:強烈建議使用泛域名證書,一個證書可以保護同一個域名下的所有二級子域名,非常適合內部有多項服務的環境。
