【导读】

内网应用未启用HTTPS正成为重大安全隐患。部署内网SSL证书可有效防止横向渗透、保障API调用完整性，并支撑零信任架构演进。

内网SSL证书不是‘伪需求’

随着微服务拆分与容器化普及，内部服务间调用占比超76%（据CNCF 2023报告）。但多数企业仍默认HTTP互通，导致凭证泄露、会话劫持风险持续暴露。

国家《网络安全等级保护基本要求》明确指出：三级及以上信息系统应实现重要业务通道的双向身份认证与传输加密。

私有CA是内网证书唯一可行路径

公信SSL证书不签发纯IP或内网域名（如service.local、192.168.x.x），因此必须构建自有PKI体系：

• - 使用OpenSSL或HashiCorp Vault搭建轻量级私有CA；
• - 统一分发根证书至所有终端设备及服务器的信任存储区；
• - 自动化申请—签署—轮换流程，降低运维负担；
• - 启用OCSP Stapling优化TLS握手性能，延迟增幅可控在5ms以内。

新网推荐三步实施法

依托多年SSL基础设施交付经验，我们建议按阶段推进：

1. 第一阶段：梳理关键内网资产清单，识别高敏接口与数据库连接链路；
2. 第二阶段：试点Kubernetes集群Ingress Controller集成私有证书颁发器；
3. 第三阶段：对接SIEM平台日志审计策略，监控异常证书吊销请求与签名算法弱配置。

新网提供全生命周期支持服务，涵盖私有CA咨询设计、自动化脚本开发及等保测评材料准备。

常见问题

• Q：浏览器访问内网地址提示‘NET::ERR_CERT_AUTHORITY_INVALID’怎么办？
• A：需手动导入私有CA根证书到操作系统及各主流浏览器受信根目录。
• Q：能否复用现有公网OV/EV SSL证书做内网验证？
• A：不可行。公共信任锚点无法覆盖内网标识，且存在密钥混用安全风险。

*本文由新网（Xinnet）内容中心编辑整理，转载请注明出处。