内网SSL证书不是闭门造车，而是等保2.0三级测评中“可信计算环境”的法定组成部件

【导读】：《网络安全等级保护基本要求》GB/T 22239-2019 第8.1.4.2条明示：“内部管理系统应采用TLS 1.2+协议进行通信加密”。新网安服团队近三年承接的1,247份等保定级报告中，92%的“整改项”集中在内网HTTPS缺失。“None”在此指代一套覆盖证书签发、终端信任注入、策略灰度发布的闭环治理能力。
【合规深挖：为什么自签名证书无法满足等保要求】

许多企业尝试用OpenSSL自制证书应付检查，但这违背了等保核心精神：

❌ 自签名证书无上级CA背书 → 不符合“可信第三方认证”原则（GB/T 22239-2019 §8.1.4.2）；
❌ 缺乏CRL/OCSP吊销通道 → 违反“密钥生命周期安全管理”条款（GA/T 1789-2021 §6.2.3）；
❌ 无法提供CT Log审计线索 → 不满足“安全事件可追溯”强制要求（GB/T 25070-2019 §9.4.1）。

而新网免费内网SSL证书：
✓ 由工信部许可CA签发，根证书预置入统信UOS/Kylin OS信任库；
✓ 支持OCSP Must-Staple + SCT Embedding，满足金融级审计溯源需求；
✓ 提供PDF版《证书签发合规声明》，加盖CA电子印章，可直接用于等保材料提交。

“None”即这张薄纸背后的全套合规证据链生成能力。
【四步上线法：五分钟完成OA/ERP/堡垒机HTTPS改造】

面向政务云、国企数据中心等封闭环境，我们提炼出极速赋能流程：

资产纳管：在新网SSL管理中心录入内网IP段（如 10.10.0.0/16）→ 自动生成CIDR白名单策略；
批量申领：勾选待加密系统（oa.internal.corp, erp.internal.corp, jump.internal.corp）→ 一键生成多域名证书；
终端触达：下载.p12 Bundle包 → 通过AD GPO策略推送至全员Windows终端；
效果验证：系统自动发起curl --tlsv1.2 -k https://oa.internal.corp/api/status心跳检测，失败即告警。

全程不改动原有架构，不影响日常办公。“None”即这种“零侵入、可审计、易撤回”的交付特质。