内网IP生成有效SSL证书指南
一、生成自签名CA证书
创建证书存储目录后,通过OpenSSL生成私钥和证书请求文件:
openssl req -newkey rsa:2048 -nodes -keyout ca.key -out ca.csr
自签署证书需填写包含国家代码、省份、城市、组织名称等字段信息。执行以下命令生成有效期10年的根证书:
openssl x509 -signkey ca.key -in ca.csr -req -days 3650 -out ca.crt
二、配置服务器SSL证书
部署证书需完成三个核心步骤:
- 将ca.crt和ca.key复制到服务器证书目录
- 修改Web服务器配置(以Nginx为例):
ssl_certificate /path/ca.crt; ssl_certificate_key /path/ca.key;
- 开放443端口并重启服务
企业环境建议通过JoySSL等CA机构申请OV证书,需人工验证内网IP所有权。
三、客户端信任根证书
消除浏览器警告的两种方案:
- 域控推送:通过组策略管理器导入根证书,自动同步至所有客户端
- 脚本导入:使用PowerShell命令将证书添加至信任存储:
Import-Certificate -FilePath "ca.der" -CertStoreLocation cert:\CurrentUser\Root
四、证书维护与更新
建议建立证书管理机制:
- 使用监控工具跟踪证书有效期
- 提前30天执行更新操作
- 保留旧证书至所有客户端完成更新
通过上述流程,可在内网环境中建立完善的HTTPS加密体系,既保障数据传输安全,又避免浏览器安全警告影响使用体验。
