內(nèi)網(wǎng)是指不連接公網(wǎng)(互聯(lián)網(wǎng))的內(nèi)網(wǎng)網(wǎng)絡(luò)，內(nèi)網(wǎng)網(wǎng)站系統(tǒng)是指用于內(nèi)部業(yè)務(wù)管理的Web系統(tǒng)，為了保障內(nèi)部管理系統(tǒng)的數(shù)據(jù)安全，內(nèi)網(wǎng)網(wǎng)站系統(tǒng)也必須部署SSL證書，但是大家常用的SSL證書是不支持內(nèi)網(wǎng)IP地址和內(nèi)部域名的，因?yàn)镃A無法驗(yàn)證用戶對申請證書綁定的內(nèi)網(wǎng)IP地址和內(nèi)部域名的控制權(quán)。怎么辦？本寶典詳細(xì)講解如何為內(nèi)網(wǎng)網(wǎng)站系統(tǒng)部署SSL證書，特別是如何部署綁定內(nèi)網(wǎng)IP地址的內(nèi)網(wǎng)SSL證書。

一、內(nèi)網(wǎng)流量更需要SSL證書實(shí)現(xiàn)HTTPS加密保護(hù)

內(nèi)網(wǎng)之所以稱之為內(nèi)網(wǎng)，是因?yàn)槠淞髁慷际菃挝粰C(jī)密數(shù)據(jù)，不能連接公網(wǎng)，以保護(hù)這些內(nèi)部機(jī)密信息安全，但是內(nèi)網(wǎng)已經(jīng)不是一個辦公室內(nèi)的一臺交換機(jī)內(nèi)的網(wǎng)絡(luò)，已經(jīng)是一個跨樓層、跨樓棟、甚至跨城市的內(nèi)聯(lián)網(wǎng)，內(nèi)部機(jī)密數(shù)據(jù)如果是明文HTTP方式流通，非常不安全，非常容易在數(shù)據(jù)傳輸過程中被非法竊取和非法篡改，所以比公網(wǎng)更需要加密保護(hù)。

而如何實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)的加密保護(hù)，最簡單的方案就是為內(nèi)部Web網(wǎng)站部署SSL證書實(shí)現(xiàn)HTTPS加密，而不是采用加密機(jī)加密原始數(shù)據(jù)后仍然用明文HTTP協(xié)議傳輸，這個加密機(jī)方案實(shí)施成本更高，更復(fù)雜，并且不方便實(shí)現(xiàn)數(shù)據(jù)處理和AI應(yīng)用。采用SSL證書實(shí)現(xiàn)傳輸加密的技術(shù)方案之所以是最容易實(shí)施和最低成本的方案，是因?yàn)檎麄€應(yīng)用生態(tài)都支持這個方案，包括瀏覽器和Web服務(wù)器，只需部署SSL證書即可。

二、為內(nèi)網(wǎng)網(wǎng)站系統(tǒng)部署SSL證書的三個可選方案

如何為內(nèi)網(wǎng)Web網(wǎng)站部署SSL證書是一個一直在困擾內(nèi)網(wǎng)管理員的難題，目前無外乎以下三個技術(shù)方案：

1. 自己簽發(fā)自簽SSL證書

簽發(fā)自簽SSL證書非常簡單，只需使用OpenSSL軟件，一行命令就可以實(shí)現(xiàn)：

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

接著輸入內(nèi)網(wǎng)IP地址或主機(jī)名即可完成自簽SSL證書的簽發(fā)，就可以部署到內(nèi)網(wǎng)Web服務(wù)器上使用。其最大的問題是要求每個內(nèi)網(wǎng)用戶在第一次訪問網(wǎng)站時都必須點(diǎn)擊信任此自簽SSL證書。

2. 使用企業(yè)CA簽發(fā)內(nèi)網(wǎng)SSL證書

如果企業(yè)內(nèi)網(wǎng)已經(jīng)建立了企業(yè)CA，為內(nèi)網(wǎng)用戶簽發(fā)登錄內(nèi)網(wǎng)系統(tǒng)的客戶端證書，則只需配置SSL證書簽發(fā)參數(shù)，就可以簽發(fā)內(nèi)網(wǎng)SSL證書，部署使用即可。一般來講，內(nèi)網(wǎng)用戶電腦都已經(jīng)設(shè)置信任企業(yè)CA的根證書，只要簽發(fā)的內(nèi)網(wǎng)SSL證書的密鑰長度為RSA 2048和SHA256或以上參數(shù)，常用瀏覽器應(yīng)該是能正常實(shí)現(xiàn)HTTPS加密的。

3. 申請和部署公網(wǎng)SSL證書

以上兩種實(shí)現(xiàn)方式的唯一問題是常用瀏覽器不信任自簽證書和企業(yè)CA簽發(fā)的SSL證書，需要在每個用戶電腦上安裝根證書和信任自簽證書，這也是一個比較大的工作量。所以用戶還可以選擇第三個方案，那就是申請瀏覽器信任的公網(wǎng)SSL證書。

這就要求內(nèi)網(wǎng)有DNS系統(tǒng)，用公網(wǎng)子域名申請全球信任的公網(wǎng)SSL證書，再解析公網(wǎng)子域名到內(nèi)網(wǎng)IP地址，即可使用綁定公網(wǎng)子域名的公網(wǎng)SSL證書實(shí)現(xiàn)HTTPS加密，這樣常用瀏覽器就不會有不安全警告，也無需為每個內(nèi)網(wǎng)用戶電腦安裝企業(yè)CA根證書或信任自簽證書。

從上面所述的現(xiàn)有3個解決方案可以看出，瀏覽器信任很重要，瀏覽器之所以信任，是因?yàn)檫@張SSL證書是按照國際標(biāo)準(zhǔn)和國密標(biāo)準(zhǔn)簽發(fā)出來的，能保障密鑰安全和HTTPS加密安全，而自簽證書和企業(yè)CA簽發(fā)的證書往往不可能做到完全符合國際標(biāo)準(zhǔn)SSL證書基線要求，這就是瀏覽器信任的SSL證書的價(jià)值。

作為專業(yè)的云計(jì)算及網(wǎng)絡(luò)安全服務(wù)商，藍(lán)隊(duì)云提供亞洲誠信、銳安信等多個品牌的多類型SSL證書，提供免費(fèi)的證書安裝服務(wù)，24小時人工技術(shù)服務(wù)支持，歡迎需要的朋友體驗(yàn)。