- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務經(jīng)營許可證 B1.B2-20181647、滇B1.B2-20190004
- 云南互聯(lián)網(wǎng)協(xié)會理事單位
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務機構許可:滇D3-20230001
- 代理域名注冊服務機構:新網(wǎng)數(shù)碼
相關文章
云南公布第二批免費向社會提供信息技術服務企業(yè)名單 中國互聯(lián)網(wǎng)企業(yè)赴美上市規(guī)模預計今年或減半 【滇企復工進行時】藍隊云:未雨綢繆,危機之下必有機遇 搜狐、騰訊、迅雷等一批互聯(lián)網(wǎng)公司涉黃被罰5萬 他們失敗的辛酸血淚史:億唐網(wǎng)、博客中國、酷6網(wǎng)、飯否
內網(wǎng)網(wǎng)站系統(tǒng)部署SSL證書攻略
2025-04-08 17:33:01
2022
內網(wǎng)是指不連接公網(wǎng)(互聯(lián)網(wǎng))的內網(wǎng)網(wǎng)絡,內網(wǎng)網(wǎng)站系統(tǒng)是指用于內部業(yè)務管理的Web系統(tǒng),為了保障內部管理系統(tǒng)的數(shù)據(jù)安全,內網(wǎng)網(wǎng)站系統(tǒng)也必須部署SSL證書,但是大家常用的SSL證書是不支持內網(wǎng)IP地址和內部域名的,因為CA無法驗證用戶對申請證書綁定的內網(wǎng)IP地址和內部域名的控制權。怎么辦?本寶典詳細講解如何為內網(wǎng)網(wǎng)站系統(tǒng)部署SSL證書,特別是如何部署綁定內網(wǎng)IP地址的內網(wǎng)SSL證書。
一、內網(wǎng)流量更需要SSL證書實現(xiàn)HTTPS加密保護
內網(wǎng)之所以稱之為內網(wǎng),是因為其流量都是單位機密數(shù)據(jù),不能連接公網(wǎng),以保護這些內部機密信息安全,但是內網(wǎng)已經(jīng)不是一個辦公室內的一臺交換機內的網(wǎng)絡,已經(jīng)是一個跨樓層、跨樓棟、甚至跨城市的內聯(lián)網(wǎng),內部機密數(shù)據(jù)如果是明文HTTP方式流通,非常不安全,非常容易在數(shù)據(jù)傳輸過程中被非法竊取和非法篡改,所以比公網(wǎng)更需要加密保護。
而如何實現(xiàn)內網(wǎng)數(shù)據(jù)的加密保護,最簡單的方案就是為內部Web網(wǎng)站部署SSL證書實現(xiàn)HTTPS加密,而不是采用加密機加密原始數(shù)據(jù)后仍然用明文HTTP協(xié)議傳輸,這個加密機方案實施成本更高,更復雜,并且不方便實現(xiàn)數(shù)據(jù)處理和AI應用。采用SSL證書實現(xiàn)傳輸加密的技術方案之所以是最容易實施和最低成本的方案,是因為整個應用生態(tài)都支持這個方案,包括瀏覽器和Web服務器,只需部署SSL證書即可。
二、為內網(wǎng)網(wǎng)站系統(tǒng)部署SSL證書的三個可選方案
如何為內網(wǎng)Web網(wǎng)站部署SSL證書是一個一直在困擾內網(wǎng)管理員的難題,目前無外乎以下三個技術方案:
1. 自己簽發(fā)自簽SSL證書
簽發(fā)自簽SSL證書非常簡單,只需使用OpenSSL軟件,一行命令就可以實現(xiàn):
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
接著輸入內網(wǎng)IP地址或主機名即可完成自簽SSL證書的簽發(fā),就可以部署到內網(wǎng)Web服務器上使用。其最大的問題是要求每個內網(wǎng)用戶在第一次訪問網(wǎng)站時都必須點擊信任此自簽SSL證書。
2. 使用企業(yè)CA簽發(fā)內網(wǎng)SSL證書
如果企業(yè)內網(wǎng)已經(jīng)建立了企業(yè)CA,為內網(wǎng)用戶簽發(fā)登錄內網(wǎng)系統(tǒng)的客戶端證書,則只需配置SSL證書簽發(fā)參數(shù),就可以簽發(fā)內網(wǎng)SSL證書,部署使用即可。一般來講,內網(wǎng)用戶電腦都已經(jīng)設置信任企業(yè)CA的根證書,只要簽發(fā)的內網(wǎng)SSL證書的密鑰長度為RSA 2048和SHA256或以上參數(shù),常用瀏覽器應該是能正常實現(xiàn)HTTPS加密的。
3. 申請和部署公網(wǎng)SSL證書
以上兩種實現(xiàn)方式的唯一問題是常用瀏覽器不信任自簽證書和企業(yè)CA簽發(fā)的SSL證書,需要在每個用戶電腦上安裝根證書和信任自簽證書,這也是一個比較大的工作量。所以用戶還可以選擇第三個方案,那就是申請瀏覽器信任的公網(wǎng)SSL證書。
這就要求內網(wǎng)有DNS系統(tǒng),用公網(wǎng)子域名申請全球信任的公網(wǎng)SSL證書,再解析公網(wǎng)子域名到內網(wǎng)IP地址,即可使用綁定公網(wǎng)子域名的公網(wǎng)SSL證書實現(xiàn)HTTPS加密,這樣常用瀏覽器就不會有不安全警告,也無需為每個內網(wǎng)用戶電腦安裝企業(yè)CA根證書或信任自簽證書。
從上面所述的現(xiàn)有3個解決方案可以看出,瀏覽器信任很重要,瀏覽器之所以信任,是因為這張SSL證書是按照國際標準和國密標準簽發(fā)出來的,能保障密鑰安全和HTTPS加密安全,而自簽證書和企業(yè)CA簽發(fā)的證書往往不可能做到完全符合國際標準SSL證書基線要求,這就是瀏覽器信任的SSL證書的價值。
作為專業(yè)的云計算及網(wǎng)絡安全服務商,藍隊云提供亞洲誠信、銳安信等多個品牌的多類型SSL證書,提供免費的證書安裝服務,24小時人工技術服務支持,歡迎需要的朋友體驗。
- 上一篇:紅藍對抗-防守溯源的基本思路
- 下一篇:沒有了
