目前，支援內網IP地址https加密的SSL證書有銳安信、CFCA等國產品牌，當獲取到內網 IP SSL證書後，即可在伺服器（常見型別如Nginx，Apache，Tomcat，IIS等）上完成配置。內網IP地址實現https認證的過程與域名ssl證書安裝教程類似。

但是，當完成伺服器端配置內網IP 證書後，使用者還需要進行根證書匯入客戶端才能最終實現https加密，並消除不安全警告。

客戶端匯入IP根證書方案

客戶端匯入根證書有兩種方案：一種是域控推送方式，二是指令碼執行方式。

方案一：域控推送根證書

此方案適用於在內網環境下有大量使用者客戶端的企業。透過域控推送根證書，域中所有使用者自動接收根證書，免去在每個客戶端單獨匯入操作的麻煩。具體步驟如下：

1 、在域控上，用管理員身份登入，執行gpmc.msc 組策略管理器。

2 、進入林，編輯預設GPO，或者新增新GPO。

3 、依次展開【計算機配置】-【策略】-【windows設定】-【安全設定】-【公鑰策略】-【受信任的根證書頒發機構】。

4 、匯入銳成提供的根證書。

5 、匯入成功後，每臺客戶端會在90分鐘內自動更新組策略，或者透過使用gpupdate /force命令強制進行更新預設域策略。

6 、至此，域中的所有使用者都將收到來自域控推送的根證書。

方案二：指令碼匯入根證書

本方案適合沒有域控或者不願意做組策略的使用者。具體步驟如下：

1、透過指令碼匯入根證書，需要開啟“Windows powershell”，在powershell中輸入：

Import-Certificate -FilePath "ssltrus-g1.der" -CertStoreLocation cert:\CurrentUser\Root

Ps: 引號中的內容為根證書目前存放的實際路徑

2 、點選“是”，匯入成功，如下圖

使用者可根據自身情況選用匯入根證書方案，完成內網IP SSL證書的配置，實現內網環境下傳輸資料加密和身份認證。

本文轉載於

如何配置內網IP SSL證書?附客戶端匯入IP根證書兩種方案