内网IP地址申请SSL证书并配置HTTPS教程

更新时间：2025-01-20 来源：topssl 作者：topssl

内网IP地址申请SSL证书并配置HTTPS的详细指南

为内网IP申请SSL证书可提升数据传输安全性，防止泄露与攻击，满足合规需求。通过TopSSL平台完成选购、验证及签发流程，并支持多种客户端根证书导入方案，保障内网通信安全可靠。

为内网IP地址申请SSL证书，可以实现增强内网数据的安全性，通过HTTPS加密，保护内网数据在传输过程中的安全性，防止数据泄露。提高内网应用的安全性，为内网应用提供更高的安全性，防止中间人攻击等安全威胁。符合安全合规要求，在一些行业和场景中，对数据安全有较高的要求，使用HTTPS可以满足这些要求。

如何购买内网ip证书？很简单！内网证书与免费ssl证书或标准公网证书最大的不同在于签发方式。
在 TopSSL 等平台下单支付完成后，系统并不会立即生成证书，因为内网 IP 无法进行全自动的 ACME 验证。

在 TopSSL 平台选定对应产品（**推荐产品可以直接申请：SSLTrus DV**）后，完成支付联系TopSSL客服。

内网证书需要“手工签发”。所以你需要提供内网 IP 地址给TopSSL后台工程师。

内网 SSL 证书需要人工介入签发

耐心等待工程师会介入处理，由于内网环境的特殊性，这一步由于由人工手动核验后在后端完成签发，绕过公网 DNS 无法解析的障碍，所以一般比普通DV 证书的时间要长。

客户端导入根证书有两种方案：一种是域控推送方式，二是脚本运行方式。

此方案适用于在内网环境下有大量用户客户端的企业。通过域控推送根证书，域中所有用户自动接收根证书，免去在每个客户端单独导入操作的麻烦。具体步骤如下：

1、在域控上，用管理员身份登录，运行gpmc.msc 组策略管理器。

用管理员身份登录，运行gpmc.msc 组策略管理器

2、进入，编辑默认GPO，或者添加新GPO。

编辑默认GPO，或者添加新GPO

3、依次展开【计算机配置】-【策略】-【windows设置】-【安全设置】-【公钥策略】-【受信任的根证书颁发机构】。

公钥策略】-【受信任的根证书颁发机构

4、导入topssl提供的根证书。

导入锐成提供的根证书

5、导入成功后，每台客户端会在90分钟内自动更新组策略，或者通过使用gpupdate /force命令强制进行更新默认域策略。

导入成功后，每台客户端会在90分钟内自动更新组策略

6、至此，域中的所有用户都将收到来自域控推送的根证书。

所有用户都将收到来自域控推送的根证书

本方案适合没有域控或者不愿意做组策略的用户。具体步骤如下：

1、通过脚本导入根证书，需要打开“Windows powershell”，在powershell中输入：

Import-Certificate -FilePath "ssltrus-g1.der" -CertStoreLocation cert:\\CurrentUser\\Root

Ps: 引号中的内容为根证书目前存放的实际路径

根证书目前存放的实际路径

2、点击“是”，导入成功，如下图

i导入成功
用户可根据自身情况选用导入根证书方案，完成内网IP SSL证书的配置，实现内网环境下传输数据加密和身份认证。

以Nginx为例，其他服务器配置类似：

将证书文件上传到服务器：
将获取到的证书文件、私钥文件和中间证书文件上传到Nginx配置文件所在的目录。
修改Nginx配置文件：
打开Nginx配置文件（通常为nginx.conf），找到需要配置的server块。
在server块中添加如下配置：
Nginx
```
server {
    listen 443 ssl;
    server_name your_internal_ip;
    ssl_certificate /path/to/your/certificate.crt;
    ssl_certificate_key /path/to/your/private.key;
    ssl_trusted_certificate /path/to/your/ca-bundle.crt;
    # ...其他配置
}
```
- 将 /path/to/your/certificate.crt、/path/to/your/private.key 和 /path/to/your/ca-bundle.crt 替换为实际的证书文件路径。
重启Nginx：
- 执行 sudo systemctl restart nginx 或 sudo service nginx restart 命令重启Nginx。