内网SSL证书

内网SSL证书

内网 SSL 证书是指用于内部网络（如企业局域网、私有云、测试环境）中 HTTPS 服务的数字证书，其核心作用是为 https://192.168.x.x、https://intranet.local、https://server.internal 等非公网可解析域名或 IP 地址提供 TLS 加密与身份标识能力。

标准公共信任的 CA（如 Digicert、Sectigo、Geotrust）普遍拒绝为纯内网域名（如 .local、.lan、.internal）或私有 IP 地址签发证书，因其不符合 RFC 5280 和 CA/B 论坛基线要求（BRs）。因此，实际部署中主要有两类方案：

• 私有 PKI + 自建 CA：企业通过 Microsoft AD CS、OpenSSL、HashiCorp Vault 或 Smallstep 等工具构建内部根 CA，并签发终端证书。客户端需预先信任该根证书（如通过组策略分发），否则浏览器将显示 NET::ERR_CERT_AUTHORITY_INVALID。
• 兼容性更强的替代域名方案：将内网服务映射至可由公有 CA 签发的域名（如 intranet.example.com），并配合内部 DNS 解析或 hosts 文件实现访问。该方式可直接使用 OV SSL证书 或 DV SSL证书，无需客户端额外配置信任链。

值得注意的是，免费ssl证书（如 Let’s Encrypt）同样不支持私有域名/IP；而部分国产 CA（如 vTrus(天威诚信)、华测国密CA）虽提供内网证书服务，但通常需签署协议并完成组织验证，且证书链仍依赖客户端手动信任。

需要注意的情况

• Chrome 117+ 和 Safari 已完全弃用对 .local 域名的 TLS 证书自动信任机制，即使使用自签名证书也必然触发全页警告；Firefox 仍保留一定兼容性，但不推荐依赖。
• 容器化或 Kubernetes 环境中，建议采用 cert-manager + 自建 Issuer（如 ca-issuer 或 selfsigned-issuer）动态签发内网证书，避免硬编码证书文件。
• 若内网系统需对接外部系统（如微信小程序、支付宝 SDK），其 HTTPS 调用通常强制要求公有可信证书，此时必须使用可解析的备案域名 + 公共 CA 证书，不可用纯内网证书。