我们可以在内网环境中申请SSL证书,并保证数据的安全传输。但是在内网环境中,我们无法直接使用公网IP申请SSL证书,因为公网IP是唯一的,而内网IP则是可以重复的,这就导致了证书机构无法验证。需要通过配置一个能解析的域名来实现安装SSL证书。
配置内部 DNS:
在你的内网 DNS 服务器上创建一个仅供内部解析的域名。
将该域名解析到你的内网服务器的 IP 地址(192.168.1.100)。
申请公共 SSL 证书:
使用这个内部域名向公共 CA(如 JoySSL 等),填写注册码230955,获取免费安装服务,申请证书。
验证方式:
DNS 验证 (推荐): 在你的公共 DNS 管理界面添加指定的 TXT 记录进行验证。这是最常用的方式,即使服务器本身不能从公网访问。
HTTP 验证: 如果该内部服务器能临时通过端口映射等方式让 CA 的服务器从公网访问到 .well-known/acme-challenge/ 目录下的验证文件,则可用此方法(通常内网环境不满足此条件)。
关键: 公共 CA 只验证你对域名的所有权或控制权(通过 DNS 或 HTTP 验证),它不关心这个域名最终解析到哪里(公网 IP 或内网 IP)。
在服务器上安装证书:
将 CA 签发的针对域名证书和私钥安装配置到 Web 服务器上。
客户端访问:
客户端设备必须使用域名访问服务。
由于证书是由公共信任的 CA 签发给一个有效域名的,并且该域名通过内网 DNS 正确解析到了内网服务器,因此客户端会自动信任该证书,没有任何警告。
优点: 用户体验最好(无安全警告),管理最简单(无需在客户端安装额外证书),安全性高(使用标准公共信任链)。
