内网是指不连接公网(互联网)的内网网络，内网网站系统是指用于内部业务管理的Web系统，为了保障内部管理系统的数据安全，内网网站系统也必须部署SSL证书，但是大家常用的SSL证书是不支持内网IP地址和内部域名的，因为CA无法验证用户对申请证书绑定的内网IP地址和内部域名的控制权。怎么办？本宝典详细讲解如何为内网网站系统部署SSL证书，特别是如何部署绑定内网IP地址的内网SSL证书。

一、内网流量更需要SSL证书实现HTTPS加密保护

内网之所以称之为内网，是因为其流量都是单位机密数据，不能连接公网，以保护这些内部机密信息安全，但是内网已经不是一个办公室内的一台交换机内的网络，已经是一个跨楼层、跨楼栋、甚至跨城市的内联网，内部机密数据如果是明文HTTP方式流通，非常不安全，非常容易在数据传输过程中被非法窃取和非法篡改，所以比公网更需要加密保护。

而如何实现内网数据的加密保护，最简单的方案就是为内部Web网站部署SSL证书实现HTTPS加密，而不是采用加密机加密原始数据后仍然用明文HTTP协议传输，这个加密机方案实施成本更高，更复杂，并且不方便实现数据处理和AI应用。采用SSL证书实现传输加密的技术方案之所以是最容易实施和最低成本的方案，是因为整个应用生态都支持这个方案，包括浏览器和Web服务器，只需部署SSL证书即可。

二、为内网网站系统部署SSL证书的三个可选方案

如何为内网Web网站部署SSL证书是一个一直在困扰内网管理员的难题，目前无外乎以下三个技术方案：

1. 自己签发自签SSL证书

签发自签SSL证书非常简单，只需使用OpenSSL软件，一行命令就可以实现：

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

接着输入内网IP地址或主机名即可完成自签SSL证书的签发，就可以部署到内网Web服务器上使用。其最大的问题是要求每个内网用户在第一次访问网站时都必须点击信任此自签SSL证书。

2. 使用企业CA签发内网SSL证书

如果企业内网已经建立了企业CA，为内网用户签发登录内网系统的客户端证书，则只需配置SSL证书签发参数，就可以签发内网SSL证书，部署使用即可。一般来讲，内网用户电脑都已经设置信任企业CA的根证书，只要签发的内网SSL证书的密钥长度为RSA 2048和SHA256或以上参数，常用浏览器应该是能正常实现HTTPS加密的。

3. 申请和部署公网SSL证书

以上两种实现方式的唯一问题是常用浏览器不信任自签证书和企业CA签发的SSL证书，需要在每个用户电脑上安装根证书和信任自签证书，这也是一个比较大的工作量。所以用户还可以选择第三个方案，那就是申请浏览器信任的公网SSL证书。

这就要求内网有DNS系统，用公网子域名申请全球信任的公网SSL证书，再解析公网子域名到内网IP地址，即可使用绑定公网子域名的公网SSL证书实现HTTPS加密，这样常用浏览器就不会有不安全警告，也无需为每个内网用户电脑安装企业CA根证书或信任自签证书。

从上面所述的现有3个解决方案可以看出，浏览器信任很重要，浏览器之所以信任，是因为这张SSL证书是按照国际标准和国密标准签发出来的，能保障密钥安全和HTTPS加密安全，而自签证书和企业CA签发的证书往往不可能做到完全符合国际标准SSL证书基线要求，这就是浏览器信任的SSL证书的价值。

作为专业的云计算及网络安全服务商，蓝队云提供亚洲诚信、锐安信等多个品牌的多类型SSL证书，提供免费的证书安装服务，24小时人工技术服务支持，欢迎需要的朋友体验。