内网应用强制启用HTTPS已成等保2.0与信创环境刚性要求。但盲目套用公网免费SSL证书会导致浏览器持续报错、移动App校验失败、API调用中断等问题。新网提醒:内网场景必须依赖专用SSL证书策略与受控根证书分发机制。
公网SSL证书依托全球公认的根证书计划(如Microsoft Root Program),操作系统和浏览器预置数百个公信CA根证书。而内网设备运行于封闭网络,未接入公开信任锚点,即使安装了Let’s Encrypt等免费证书,客户端仍因找不到有效信任链拒绝建立TLS连接。
- 免费证书仅面向FQDN域名验证,不支持IP地址或内部主机名;
- 缺乏OCSP/CRL实时吊销能力,在高敏环境中构成风险盲区;
- 不提供国密SM2算法选项,难以满足金融、政务类客户的商用密码合规需求。
依据《GB/T 39786-2021》及CMMI L5级运维标准,新网提出分级实施路线:

部分团队尝试自建OpenSSL CA或复用域控制器证书模板,存在显著隐患:
新网SSL证书服务体系覆盖从咨询规划、私有CA搭建到年度健康巡检全流程,全部组件通过国家密码管理局认证。
内网HTTPS不应是上线前临时补救动作。应将SSL证书纳入DevSecOps流程起点,嵌入CI/CD流水线完成自动申请、绑定与更新。新网提供标准化RESTful API对接Kubernetes Ingress/Nginx Controller,实现零人工干预交付。
延伸阅读:
• 如何为Kubelet与etcd集群配置双向mTLS通信?
• 国产OS环境下如何静默导入根证书而不触发UAC弹窗?