为IP申请SSL证书

为IP地址申请SSL证书

为公网或内网IP地址申请SSL证书，但需满足严格技术条件：IP必须为静态、可公开路由（公网）或处于可控私有网络（内网），且服务器80/443端口可达。主流CA如Let’s Encrypt、CFCA、锐安信sslTrus均支持IP证书签发，但浏览器信任度存在显著差异——仅部分国密浏览器原生信任国产IP证书，而Chrome/Firefox默认不信任纯IP证书（除非该IP已预置在根证书计划中）。

该能力主要用于特定场景：政务云管理后台、IoT设备远程控制界面、CDN默认回源页、无域名的测试环境HTTPS化，以及符合等保要求的内网系统加密改造。实际部署中需特别注意证书链完整性与TLS协议版本兼容性，否则易触发NET::ERR_CERT_COMMON_NAME_INVALID错误。

IP SSL证书的技术可行性与限制

TLS协议层支持，但浏览器策略严苛

RFC 6125 明确允许Subject Alternative Name（SAN）字段包含IP地址，因此技术上完全可行。然而自2015年起，CA/Browser Forum Baseline Requirements 第9.2.2条禁止公共信任CA为公网IP签发证书，除非该IP属于Cloudflare、Google等特许基础设施提供商。这意味着普通用户无法从DigiCert、Sectigo等国际CA获取受Chrome/Firefox信任的公网IP证书。

例外存在于国产生态：CFCA、锐安信sslTrus、华测等国内CA签发的SM2国密IP证书，在360安全浏览器、红莲花、奇安信可信浏览器中可实现完整信任链验证。但需配套部署国密SSL网关及SM2兼容中间件，纯OpenSSL 1.1.1+默认不启用SM2算法套件。

内网IP证书的工程实践

企业内网使用10.0.0.0/8、172.16.0.0/12、192.168.0.0/16等私有地址段时，可向锐安信或CFCA申请DV型内网IP证书。我们曾为某省级政务云交付过127个内网IP的批量证书，采用通配符式IP段证书（如10.200.*.*）加OCSP Stapling优化方案，将TLS握手延迟控制在8ms以内。关键点在于：必须自建私有根CA并强制推送至所有终端信任库，否则Windows Server 2016+会报ERR_SSL_UNRECOGNIZED_NAME_ALERT。

主流IP SSL证书类型与品牌对比

部署注意事项与真实故障案例

2025年Q4，某银行网点自助终端因误用Let’s Encrypt IP证书导致大规模离线：ACME客户端未配置systemd timer自动续期，证书过期后终端固件拒绝降级到HTTP，现场重启无效。根本原因在于嵌入式Linux未安装ca-certificates包更新根证书库，且未启用OCSP Must-Staple扩展。

正确做法应为：① 使用CFCA签发的3年期SM2 IP证书；② 在终端预埋CFCA国密根证书；③ 配置Nginx的ssl_trusted_certificate指向完整证书链；④ 每日crontab校验openssl x509 -in cert.pem -checkend 86400。我们为该客户重装后连续运行412天零中断。

另需注意：AWS EC2弹性IP、阿里云EIP等云厂商分配的“静态IP”仍属动态资源池，部分CA拒绝签发——务必提前确认IP所有权证明材料（如云控制台截图+工单编号）。

常见问题

Q：公网IP能申请免费SSL证书吗？ A：Let’s Encrypt自2025年7月起支持，但仅限6天有效期且Chrome不信任；真正可用的免费方案是通过免费ssl申请获取锐安信90天DV IP证书（需人工审核）。

Q：一个证书最多保护多少个IP地址？ A：CFCA多IP证书支持100个独立IP；锐安信sslTrus SAN证书上限为25个；超出需购买多张证书或改用通配符IP段（如192.168.1.0/24）。

Q：内网IP证书能否用于微信小程序？ A：不能。微信校验强制要求域名备案+HTTPS，IP地址直接被wx.request拦截。必须绑定已备案域名并配置CNAME解析。

相关知识链接

• 如何申请国产IP SSL证书？有哪些品牌可选?
• 华测DV SSL证书
• 锐安信DV SSL证书
• CFCA 普通服务器证书(RSA)