首页 > CEO博客

内网SSL证书首选OV SSL证书
2025年4月21日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

内网SSL证书是指为内网IP地址和内部域名签发的SSL证书,大家常用的SSL证书是公网SSL证书,这个全球信任的公网SSL证书是不被允许绑定内网IP地址和内部域名的,因为内网IP地址和内部域名无法验证所有权和使用权。本文讲一讲内网SSL证书同公网SSL证书有什么不同,如何选择合适的内网SSL证书。

一、 内网SSL证书和公网SSL证书有什么不同?

内网SSL证书是指绑定内网IP地址和主机名的仅用于内网Web服务器实现HTTPS加密的SSL证书。而公网SSL证书则是指绑定公网域名和公网IP地址的用于公网Web服务器实现HTTPS加密的SSL证书,大家经常说的SSL证书一般都是指公网SSL证书。

内网大家一般都会认为是一个安全的网络,因为仅限于有限内部人员访问,所以,其内部业务管理系统一般都没有启用HTTPS加密。但是,现在是万物互联时代,一切业务都实现无纸化管理,原先的内网已经成为了一个内联网,一个覆盖范围很广的网络。大的内网如国家政务外网是一个覆盖全国各部委和各省市的国家级大网,小的内网如医院管理信息系统,这是一个覆盖整个医院大楼到每个科室、每台智能终端设备的一个内部网络系统,这些内网的数据流如果是HTTP明文传输流通,则非常容易被非法窃取和非法篡改,必须同公网网站一样部署SSL证书实现HTTPS加密。

但是,目前国际标准不允许全球信任的公网SSL证书绑定内网IP地址,因为CA无法验证谁都可以使用的内网IP地址,所以才有了内网SSL证书这个能绑定内网IP地址的新产品。这就是内网SSL证书和公网SSL证书的唯一不同之处。

二、 内网SSL证书是如何验证内网IP地址的?

内网管理员自己签发的自签SSL证书用于内网HTTPS加密,这不是一个产品,只是一个用于保障内网流量安全的技术手段。内网SSL证书要想成为一个产品,必须有其价值,正如公网SSL证书有其价值大家都愿意付钱购买一样。

内网SSL证书的价值同公网SSL证书一样在于浏览器信任,没有不安全警告,用户无需手动信任网站部署的SSL证书。国际标准之所以不允许签发绑定内网IP地址的SSL证书,是因为无法验证绑定的内网IP地址。零信技术创新解决了这个难题,那就是:SSL证书中的公用名称(CN字段)必须绑定可验证的公网域名,而内网IP地址和主机名绑定在SAN字段,无需验证,因为无法验证。所以,用户在申请证签内网SSL证书时要求同申请公网SSL证书一样必须完成域名控制权验证,完成了证书绑定的公网域名验证,说明用户可以控制这张证书的私钥,用户就可以任意添加内网IP地址和主机名,不用验证。这就完美地解决了内网IP地址无法验证的难题,这是一个全球业界都没有解决的难题,零信技术全球率先创新解决了。

用户了解了这个核心要点后,用户就不会在申请证签内网SSL证书时反复询问客服为何申请内网SSL证书时必须填写公网域名并完成验证了。因为这是唯一可以使用的能证明用户控制证书密钥的方法,并且采用符合国际标准的验证方式完成验证。零信技术抓住了SSL证书签发的核心是验证用户证书密钥控制权,内网SSL证书也只要完成这个控制权的验证,CA就可以安全可靠地为用户签发内网SSL证书。

三、 为何内网SSL证书首选OV SSL证书?

为了区分公网SSL证书和内网SSL证书,也为了满足公网根证书不能签发内网SSL证书的合规要求,零信技术专门设立了独立的内网专用RSA算法和SM2算法根证书,用户可在线申请的证签内网SSL证书的双算法根证书为:CerSign Intranet SM2 Root 和 CerSign Intranet RSA Root,零信内网网关自动配置的双算法SSL证书的双算法根证书为:AAA Intranet SM2 Root 和 AAA Intranet RSA Root,之所以取一个中立的根证书名称,是为了为其他有兴趣定制内网SSL中级根证书用于销售其自己品牌的内网SSL证书的合作伙伴设计一个中立名称,因为浏览器信任的内网SSL证书是一个新的SSL证书市场,一个比公网SSL证书更广阔的新兴市场,一个还未开垦的黄金市场。

内网SSL证书同公网SSL证书一样,也分为内网DV SSL证书、内网OV SSL证书和内网EV SSL证书,由于内网SSL证书仅内部用户使用,就不再需要增强信任的EV SSL证书了,所以不在首选之列。至于仅验证域名所有权的内网DV SSL证书,由于证书中不含单位名称信息,仅凭内网IP地址也无法判断所属单位,不利于内网用户辨识内网系统的真实单位身份,也不在推荐之列。

内网HTTPS加密首选和推荐的是含单位名称的OV SSL证书,因为内网IP地址谁都能用,只有单位名称是唯一能标识这个内部网站的身份信息的,这样,内网用户使用零信浏览器访问该内网系统时会在地址栏显示单位名称,方便用户识别正在访问的内网系统的真实身份信息,这就是首选内网OV SSL证书的主要原因。也就是说,内网SSL证书公用名称(CN字段)的公网域名用于验证用户对内网SSL证书密钥的控制权,而证书O字段的单位名称则是证明这个内网Web系统身份的唯一标识。

内网SSL证书

四、 零信内网国密HTTPS加密自动化网关默认配置双算法OV SSL证书

为了实现内网SSL证书也能像公网SSL证书一样的自动化申请和自动化部署,零信技术创新地推出了内网国密HTTPS加密自动化网关,这也是全球首创,是一个能自动化为内网网站申请和部署使用内网SSL证书的硬件网关设备,自动化配置的双算法SSL证书是双OV SSL证书,绑定网关用户单位名称,内网用户既可以用公网域名HTTPS访问内网系统(必须解析到内网IP地址),也可以直接使用内网IP地址访问,还可以使用主机名访问,不仅零信浏览器信任并在地址栏展示单位名称,其他常用浏览器也信任,实现自适应密码算法的最大兼容。

双算法内网OV SSL证书 双算法内网OV SSL证书

零信内网网关自动化配置的双算法OV SSL证书不是一年期或者多年期证书,而是90天有效期的OV SSL证书,最多支持为510个内网网站系统自动化配置双算法内网SSL证书,每个网站都是独立密钥和独立证书,每80天更新一次密钥和证书,确保内网SSL证书能满足即将到来的同公网SSL证书一样的90天有效期安全策略,有力保障内网HTTPS加密安全。