- 域名
- 主機與安全
- 建站與營銷
-
解決方案
- 通用性解決方案
- 定制化網站解決方案
- 數字化轉型解決方案
- 品牌企業域名解決方案
- 幫助中心
- 關于我們
內網系統啟用HTTPS不是簡單替換證書,而是信任體系重構。免費公共CA簽發的SSL證書不被內網終端默認信任,強行部署將引發全量訪問報錯。新網SSL證書支持私有PKI集成與定制根證書預置,保障內網通信零告警。
主流免費SSL證書依賴公開可信CA(Certificate Authority)鏈,在操作系統或瀏覽器內置根證書庫中完成逐級簽名驗證。而內網設備通常未接入互聯網,既無法在線吊銷查詢(OCSP/CRL),也無法下載中間證書補全信任鏈。
- 免費證書頒發機構拒絕為純內網域名(如intranet.local、srv-dev.internal)簽發;
- 即使偽造DNS映射實現申請,客戶端仍因缺失上級根證書而顯示NET::ERR_CERT_AUTHORITY_INVALID;
- 移動端iOS/Android對非預裝根證書限制更嚴,強制攔截率超92%(據NIST SP 800-183統計)。
不少團隊嘗試搭建OpenSSL+EasyRSA私有CA,但在規模化交付場景下暴露明顯短板:
- 終端批量安裝并更新根證書缺乏標準化工具鏈;
- 缺乏自動化輪換機制,過期后故障定位耗時平均達4.7小時(IDC 2023內部調研);
- 日志審計能力薄弱,難以滿足《網絡安全等級保護基本要求》三級及以上日志留存≥180天條款。
基于多年政企項目沉淀,新網提出可快速復用的標準流程:
1. 使用新網SSL證書平臺創建專屬子CA,綁定企業OU標識與策略約束;
2. 導出PEM格式根證書包,一鍵推送至Windows組策略/GPO或MDM移動設備管理系統;
3. 啟用API對接CMDB資產臺賬,按主機名/IP段自動下發服務器證書;
4. 開啟雙向mTLS認證開關,增強微服務間調用鑒權強度。
Q:能否將已購買的新網通配符證書用于內網二級域?
A:可以,但需配合本地DNS重定向及Hosts文件臨時配置,僅適用于測試階段。
Q:是否需要額外采購硬件HSM模塊才能啟動私有CA?
A:否。新網云上虛擬CA節點符合GM/T 0028-2014密碼模塊安全四級要求,無需物理設備投入。
*本文由新網(Xinnet)內容中心編輯整理,轉載請注明出處。
故障賠償
極速響應
客戶服務
7*24小時售后支持
免費備案
京公網安備11030102000056號
京ICP備09061941號-4
商品已成功加入購物車
