内网域名能否部署SSL证书？新网解析私有环境加密实践路径

【导读】
越来越多的企业Web管理系统、OA、ERP等内网服务被要求启用HTTPS。但传统公网CA拒签纯内网域名（如test.local、hr.intranet），导致改造停滞。新网支持定制化内网PKI体系对接与私有根证书预置服务，助力企业平滑完成内网全站加密。
行业趋势/技术亮点
Chrome、Edge已全面标记HTTP为“不安全”。即使仅限局域网访问的应用，若未配置有效SSL证书，终端用户将遭遇连接中断或持续告警。
- 国家《网络安全等级保护基本要求》明确二级及以上信息系统应实现传输层加密；
- 主流国产操作系统及办公终端默认禁用自签名证书校验；
- 多数SaaS中间件（如Nginx、Apache、Tomcat）原生支持SAN扩展证书绑定多个内网FQDN。
企业挑战与应对方案/专家建议
针对内网SSL落地难题，新网提出三级适配策略：
轻量级：为企业颁发含指定内网DNS名称（如oa.hr.corp、dev.k8s.internal）的标准OV证书，配合本地DNS解析生效；
可控型：协助搭建私有CA基础设施，统一分发并管理设备端根证书信任链；
自动化：提供API接口接入CI/CD流程，在Kubernetes集群中动态注入TLS密钥对；
审计就绪：所有证书生命周期记录完整留存，满足等保测评日志溯源要求。
在此处添加配图
常见问题
Q1：*.intra这样的通配符能用于内网吗？
A1：可以，新网支持基于RFC标准的Private Use Domain Name（PUDN）类证书申请。
Q2：是否需要更换现有负载均衡器或反向代理？
A2：无需硬件变更，新网证书完全兼容OpenResty/Nginx Plus/F5 BIG-IP等主流平台。