在国内环境下申请 IP SSL 证书,除了需要遵循通用的 IP 证书规则外,还需要特别关注合规性、网络环境以及证书类型的选择。以下是为您整理的核心注意事项:
明确区分“公网 IP”与“内网 IP”
公网 IP 证书:国内绝大多数商业 CA 机构签发的 IP 证书仅支持公网 IP。申请时,您必须证明对该公网 IP 拥有合法的管理权限(如提供运营商分配记录或云服务商控制台截图)。
内网 IP 证书:如果您的业务处于企业内网(如 192.168.x.x),则无法申请公网 CA 证书。您需要申请专门支持内网 IP 加密的证书(如锐安信 sslTrus、CFCA 等品牌),或者在企业内部搭建私有 CA(自建根证书)。内网证书申请通常需要提交营业执照、经办人身份证、授权书等纸质或电子材料。
证书验证级别的选择
目前主流 CA 机构签发的 IP 证书仅支持 DV(域名/基础验证) 和 OV(组织验证) 两种类型。
不支持 EV(扩展验证):IP 证书无法申请 EV 级别,因此浏览器地址栏不会显示企业名称。
申请 OV 证书时,需提前准备好企业营业执照等资质文件,以完成人工审核。
不支持通配符与 IP 变更风险
不支持通配符:IP 证书不支持 IP 段的通配(如 192.168.),每个独立的公网 IP 都必须单独申请一张证书。
IP 变更导致失效:国内部分企业宽带或云服务器可能面临公网 IP 变动的情况。一旦 IP 发生变更,原证书将直接失效,必须重新为新 IP 申请证书。因此,建议申请前确保使用的是长期稳定的静态公网 IP。
端口验证与安全要求
在申请和验证阶段,服务器必须临时开放 80 端口 或 443 端口,以便 CA 机构验证您对 IP 的控制权。
建议在国内服务器的安全组或防火墙中,仅在验证期间开放这两个端口,验证通过后及时关闭,以降低被恶意扫描或攻击的风险。
合规与国密算法要求
如果您的 IP 服务涉及政务、金融、医疗等敏感领域,需特别注意国内的合规要求(如等保2.0)。
建议优先选择支持国密算法(SM2/SM3/SM4)的国产证书品牌(如 CFCA、信安世纪等),以确保符合《网络安全法》和《密码法》的相关规定。
部署限制
不支持 CDN:大多数国内外的 CDN 服务(如 Cloudflare 等)要求绑定域名,不支持直接通过 IP 证书进行 CDN 加速。
部署后,用户需直接在浏览器输入 IP 地址访问,体验不如域名友好,且容易因输入错误导致访问失败。
总结建议:在国内申请 IP 证书前,请务必确认 IP 属性(公网/内网)及稳定性。如果条件允许,最推荐的替代方案依然是为 IP 绑定一个已备案的域名,然后申请常规的域名 SSL 证书,这样不仅成本更低、管理更方便,也更符合国内的互联网合规要求。
评论已关闭