目前,支援内網IP位址https加密的SSL證書有銳安信、CFCA等國産品牌,當擷取到内網IP SSL證書後,即可在伺服器(常見類型如Nginx,Apache,Tomcat,IIS等)上完成配置。内網IP位址實作https認證的過程與域名ssl證書安裝教程類似。
但是,當完成伺服器端配置内網IP 證書後,使用者還需要進行根證書導入用戶端才能最終實作https加密,并消除不安全警告。
用戶端導入IP根證書方案
用戶端導入根證書有兩種方案:一種是域控推送方式,二是腳本運作方式。
方案一:域控推送根證書
此方案适用于在内網環境下有大量使用者用戶端的企業。通過域控推送根證書,域中所有使用者自動接收根證書,免去在每個用戶端單獨導入操作的麻煩。具體步驟如下:
1、在域控上,用管理者身份登入,運作gpmc.msc 組政策管理器。
2、進入林,編輯預設GPO,或者添加新GPO。
3、依次展開【計算機配置】-【政策】-【windows設定】-【安全設定】-【公鑰政策】-【受信任的根證書頒發機構】。
4、導入銳成提供的根證書。
5、導入成功後,每台用戶端會在90分鐘内自動更新組政策,或者通過使用gpupdate /force指令強制進行更新預設域政策。
6、至此,域中的所有使用者都将收到來自域控推送的根證書。
方案二:腳本導入根證書
本方案适合沒有域控或者不願意做組政策的使用者。具體步驟如下:
- 通過腳本導入根證書,需要打開“Windows powershell”,在powershell中輸入:
Import-Certificate -FilePath "ssltrus-g1.der" -CertStoreLocation cert:\CurrentUser\Root
Ps: 引号中的内容為根證書目前存放的實際路徑
2、點選“是”,導入成功,如下圖