內網是指不連接公網(互聯網)的內網網絡，內網網站系統是指用于內部業務管理的Web系統，為了保障內部管理系統的數據安全，內網網站系統也必須部署SSL證書，但是大家常用的SSL證書是不支持內網IP地址和內部域名的，因為CA無法驗證用戶對申請證書綁定的內網IP地址和內部域名的控制權。怎么辦？本寶典詳細講解如何為內網網站系統部署SSL證書，特別是如何部署綁定內網IP地址的內網SSL證書。

一、內網流量更需要SSL證書實現HTTPS加密保護

內網之所以稱之為內網，是因為其流量都是單位機密數據，不能連接公網，以保護這些內部機密信息安全，但是內網已經不是一個辦公室內的一臺交換機內的網絡，已經是一個跨樓層、跨樓棟、甚至跨城市的內聯網，內部機密數據如果是明文HTTP方式流通，非常不安全，非常容易在數據傳輸過程中被非法竊取和非法篡改，所以比公網更需要加密保護。

而如何實現內網數據的加密保護，最簡單的方案就是為內部Web網站部署SSL證書實現HTTPS加密，而不是采用加密機加密原始數據后仍然用明文HTTP協議傳輸，這個加密機方案實施成本更高，更復雜，并且不方便實現數據處理和AI應用。采用SSL證書實現傳輸加密的技術方案之所以是最容易實施和最低成本的方案，是因為整個應用生態都支持這個方案，包括瀏覽器和Web服務器，只需部署SSL證書即可。

二、為內網網站系統部署SSL證書的三個可選方案

如何為內網Web網站部署SSL證書是一個一直在困擾內網管理員的難題，目前無外乎以下三個技術方案：

1. 自己簽發自簽SSL證書

簽發自簽SSL證書非常簡單，只需使用OpenSSL軟件，一行命令就可以實現：

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

接著輸入內網IP地址或主機名即可完成自簽SSL證書的簽發，就可以部署到內網Web服務器上使用。其最大的問題是要求每個內網用戶在第一次訪問網站時都必須點擊信任此自簽SSL證書。

2. 使用企業CA簽發內網SSL證書

如果企業內網已經建立了企業CA，為內網用戶簽發登錄內網系統的客戶端證書，則只需配置SSL證書簽發參數，就可以簽發內網SSL證書，部署使用即可。一般來講，內網用戶電腦都已經設置信任企業CA的根證書，只要簽發的內網SSL證書的密鑰長度為RSA 2048和SHA256或以上參數，常用瀏覽器應該是能正常實現HTTPS加密的。

3. 申請和部署公網SSL證書

以上兩種實現方式的唯一問題是常用瀏覽器不信任自簽證書和企業CA簽發的SSL證書，需要在每個用戶電腦上安裝根證書和信任自簽證書，這也是一個比較大的工作量。所以用戶還可以選擇第三個方案，那就是申請瀏覽器信任的公網SSL證書。

這就要求內網有DNS系統，用公網子域名申請全球信任的公網SSL證書，再解析公網子域名到內網IP地址，即可使用綁定公網子域名的公網SSL證書實現HTTPS加密，這樣常用瀏覽器就不會有不安全警告，也無需為每個內網用戶電腦安裝企業CA根證書或信任自簽證書。

從上面所述的現有3個解決方案可以看出，瀏覽器信任很重要，瀏覽器之所以信任，是因為這張SSL證書是按照國際標準和國密標準簽發出來的，能保障密鑰安全和HTTPS加密安全，而自簽證書和企業CA簽發的證書往往不可能做到完全符合國際標準SSL證書基線要求，這就是瀏覽器信任的SSL證書的價值。

作為專業的云計算及網絡安全服務商，藍隊云提供亞洲誠信、銳安信等多個品牌的多類型SSL證書，提供免費的證書安裝服務，24小時人工技術服務支持，歡迎需要的朋友體驗。