许多人为局域网(如公司内部OA、智能家居系统)访问时浏览器弹出的“不安全”警告而烦恼。其实,通过为局域网服务配置SSL证书,就能解决这个问题,实现“https”安全访问。
一、 明确需求:你需要哪种证书?
为局域网申请证书,主要就是以下方法
- 公共可信证书(推荐) :由全球可信的证书颁发机构(CA)签发。优点是任何设备访问都直接信任,无安全警告。
对于绝大多数局域网应用,我们追求便捷和安全,因此申请公共可信证书是更优解。
直接访问JoySSL官网,注册一个账号记得填写注册码230970获取技术支持。
二、 如何申请公共可信证书?
公共CA默认只为公网域名签发证书。要让其为局域网IP或域名签发,需要验证你对这个地址的所有权。核心步骤如下:
-
拥有一个域名:
你必须有一个自己注册的公有域名(例如your-company.com)。这是所有操作的基础。 -
创建DNS解析记录:
登录你的域名管理后台,为你局域网的服务器IP地址创建一个DNS解析记录。有两种常见方式:- 解析域名到内网IP:例如,创建一个A记录
oa.your-company.com,将其指向你内网服务器的IP地址192.168.1.100。 - 使用泛解析:创建一个
*.internal.your-company.com的泛解析记录,指向你的内网网关或服务器,这样所有子域名都可以使用。
- 解析域名到内网IP:例如,创建一个A记录
-
选择CA并申请证书:
前往各大SSL证书服务商(如JoySSL、阿里云、腾讯云等)平台。选择适合的证书类型(单域名或泛域名)。- 在申请时,通用名称(CN) 一栏就填写你刚设置的域名(如
oa.your-company.com)。 - 选择DNS验证方式。CA会要求你在域名DNS设置里添加一条特定的TXT记录,以验证你拥有该域名的管理权。按照提示操作即可。
- 在申请时,通用名称(CN) 一栏就填写你刚设置的域名(如
-
验证并获取证书:
完成DNS验证后,CA通常几分钟内就会签发证书。你然后在证书管理平台下载颁发的证书文件(一般包含.crt和.key文件)。
三、 在服务器上安装部署
将下载的证书文件上传到你的局域网服务器上,并在Web服务软件(如Nginx, Apache, IIS)中进行配置,指定证书和私钥的路径,然后重启服务。
重要总结
- 核心原理:利用公有域名来“代理”验证局域网服务的可信性。
- 最大优点:一旦部署成功,局域网内任何设备、任何浏览器访问该服务,都会显示安全的小锁标志,无需每台设备手动安装证书。
- 最佳选择:强烈建议使用泛域名证书,一个证书可以保护同一个域名下的所有二级子域名,非常适合内部有多项服务的环境。
