一、前期准备
确定内网IP地址:
确保有一个明确且固定的内网IP地址。动态IP地址可能不适合此场景,因为它们会频繁改变,导致SSL证书失效。
选择SSL证书颁发机构(CA):
选择一个受信任的CA,如JoySSL、CFCA等,并确认其是否提供针对内网IP地址的SSL证书服务。
二、申请SSL证书
注册账号:在JoySSL官网注册一个账号,并填写相关信息。在注册过程中,需要填写特定的注册码230922对接IP证书专员以获得协助配置服务或大额优惠。
提交申请:登录账户后,在后台找到客户经理选项。联系并获取证书。
下载SSL证书:当验证成功后,CA将签发内网SSL证书,你可以直接在控制台下载你的证书文件包,然后部署即可。
三、客户端配置
导入根证书:
由于内网IP地址的特殊性,用户还需要在客户端进行根证书的导入,才能实现HTTPS加密并消除不安全警告。
客户端导入根证书有两种方案:域控推送方式和脚本运行方式。
域控推送方式:适用于有大量用户客户端的企业。在域控上运行组策略管理器,编辑默认GPO或添加新GPO,依次展开“计算机配置”-“策略”-“Windows设置”-“安全设置”-“公钥策略”-“受信任的根证书颁发机构”,然后导入CA提供的根证书。导入成功后,每台客户端会在一定时间内(如90分钟)自动更新组策略,或者通过使用gpupdate /force命令强制进行更新默认域策略。
脚本运行方式:适用于没有域控或者不愿意做组策略的用户。通过Windows PowerShell输入导入证书的命令,如Import-Certificate -FilePath "ssltrus-g1.der" -CertStoreLocation cert:\CurrentUser\Root(引号中的内容为根证书目前存放的实际路径),然后点击“是”确认导入。
在内网环境中,内部人员传输的数据可能涉及企业组织的重要机密信息,为内网系统或网站绑定SSL证书,搭建HTTPS服务器保证通信数据安全加密是很有必要的。针对内网SSL证书的需求,JoySSL提供相应的技术解决方案,帮助用户解决内网设备通信安全连接的难题,欢迎访问JoySSL官网咨询专员。