一、前期準備
確定內網IP地址:
確保有一個明確且固定的內網IP地址。動態IP地址可能不適合此場景,因為它們會頻繁改變,導致SSL證書失效。
選擇SSL證書頒發機構(CA):
選擇一個受信任的CA,如JoySSL、CFCA等,並確認其是否提供針對內網IP地址的SSL證書服務。
二、申請SSL證書
內網ip證書申請入口-註冊聯絡專員獲取
註冊賬號:在JoySSL官網註冊一個賬號,並填寫相關資訊。在註冊過程中,需要填寫特定的註冊碼230922對接IP證書專員以獲得協助配置服務或大額優惠。
提交申請:登入賬戶後,在後臺找到客戶經理選項。聯絡並獲取證書。
下載SSL證書:當驗證成功後,CA將簽發內網SSL證書,你可以直接在控制檯下載你的證書檔案包,然後部署即可。
三、客戶端配置
匯入根證書:
由於內網IP地址的特殊性,使用者還需要在客戶端進行根證書的匯入,才能實現HTTPS加密並消除不安全警告。
客戶端匯入根證書有兩種方案:域控推送方式和指令碼執行方式。
域控推送方式:適用於有大量使用者客戶端的企業。在域控上執行組策略管理器,編輯預設GPO或新增新GPO,依次展開“計算機配置”-“策略”-“Windows設定”-“安全設定”-“公鑰策略”-“受信任的根證書頒發機構”,然後匯入CA提供的根證書。匯入成功後,每臺客戶端會在一定時間內(如90分鐘)自動更新組策略,或者透過使用gpupdate /force命令強制進行更新預設域策略。
指令碼執行方式:適用於沒有域控或者不願意做組策略的使用者。透過Windows PowerShell輸入匯入證書的命令,如Import-Certificate -FilePath "ssltrus-g1.der" -CertStoreLocation cert:\CurrentUser\Root(引號中的內容為根證書目前存放的實際路徑),然後點選“是”確認匯入。
在內網環境中,內部人員傳輸的資料可能涉及企業組織的重要機密資訊,為內網系統或網站繫結SSL證書,搭建HTTPS伺服器保證通訊資料安全加密是很有必要的。針對內網SSL證書的需求,JoySSL提供相應的技術解決方案,幫助使用者解決內網裝置通訊安全連線的難題,歡迎訪問JoySSL官網諮詢專員。