内网系统启用HTTPS不是简单替换证书,而是信任体系重构。免费公共CA签发的SSL证书不被内网终端默认信任,强行部署将引发全量访问报错。新网SSL证书支持私有PKI集成与定制根证书预置,保障内网通信零告警。
主流免费SSL证书依赖公开可信CA(Certificate Authority)链,在操作系统或浏览器内置根证书库中完成逐级签名验证。而内网设备通常未接入互联网,既无法在线吊销查询(OCSP/CRL),也无法下载中间证书补全信任链。
- 免费证书颁发机构拒绝为纯内网域名(如intranet.local、srv-dev.internal)签发;
- 即使伪造DNS映射实现申请,客户端仍因缺失上级根证书而显示NET::ERR_CERT_AUTHORITY_INVALID;
- 移动端iOS/Android对非预装根证书限制更严,强制拦截率超92%(据NIST SP 800-183统计)。
不少团队尝试搭建OpenSSL+EasyRSA私有CA,但在规模化交付场景下暴露明显短板:
- 终端批量安装并更新根证书缺乏标准化工具链;
- 缺乏自动化轮换机制,过期后故障定位耗时平均达4.7小时(IDC 2023内部调研);
- 日志审计能力薄弱,难以满足《网络安全等级保护基本要求》三级及以上日志留存≥180天条款。
基于多年政企项目沉淀,新网提出可快速复用的标准流程:
1. 使用新网SSL证书平台创建专属子CA,绑定企业OU标识与策略约束;
2. 导出PEM格式根证书包,一键推送至Windows组策略/GPO或MDM移动设备管理系统;
3. 启用API对接CMDB资产台账,按主机名/IP段自动下发服务器证书;
4. 开启双向mTLS认证开关,增强微服务间调用鉴权强度。

Q:能否将已购买的新网通配符证书用于内网二级域?
A:可以,但需配合本地DNS重定向及Hosts文件临时配置,仅适用于测试阶段。
Q:是否需要额外采购硬件HSM模块才能启动私有CA?
A:否。新网云上虚拟CA节点符合GM/T 0028-2014密码模块安全四级要求,无需物理设备投入。
*本文由新网(Xinnet)内容中心编辑整理,转载请注明出处。