内网SSL证书——使用内部服务器名称、保留的IP地址和域名名称
内网SSL证书提供了用于保护内部服务器、应用以及IP地址的高性价比解决方案;在从SSL/TLS加密获益的同时,无需遵守公信证书的标准。使用内网SSL证书,企业将获得与公信SSL证书相同的安全级别以及证书特性;该证书是由GlobalSign非公信CA签发,在公信证书下不被允许的配置能够实现,而且价格更优惠。内网SSL证书可从GlobalSign的PKI管理平台直接获得。
注意:你可以在内部服务器上使用GlobalSign标准的公信SSL/TLS产品。内网SSL证书适用于那些无需或者不能使用公共信任的应用,因为证书是必不可少的,但又不能遵循行业规范。
从2015年开始,CA/B论坛禁止在公信SSL/TLS证书中使用内部服务器名称和保留的IP地址。这意味着,通常从公信CA机构(如GlobalSign)获得的SSL/TLS证书,将不能使用内部服务器名称。GlobalSign的内网SSL证书允许企业继续为内部服务器名称和保留的IP地址签发证书而无需自行构建CA或者使用自签证书,因为内网SSL证书是由GlobalSing的非公信CA签发。
谁需要内网SSL证书
-
需要证书中包含内部服务器名称和保留的IP地址,而又不希望自行构建CA或使用自签证书
-
内部服务器不满足公信要求,但又希望使用证书保证其安全
-
签发的证书包含在公信要求下不被允许的选项,如:内部服务器名称、SHA-1算法以及3-5年的超长有效期
-
不希望在证书透明度日志中公布内部服务器名称
-
希望在一个系统中管理所有的证书,包括公信与私信。GlobalSign的内网SSL证书签发所运用的基础设施以及管理工具(包括在动态的服务器清单中发现、跟踪、报告管理所有的证书)都是经过WebTrust的审计认证
内网SSL证书的主要特性
安全的RSA 2048位和ECC 256位等级
灵活的签名算法,包括SHA-1、SHA-256和ECDSA
包含多达500个SANs,其中包括内部服务器名称、域名名称、子域、通配符和IP地址
SANs许可包选项允许在证书清单中指定一定数量的唯一SANs,使得组织在不违反规定的前提下试用和使用短期证书
从GlobalSign的PKI管理平台即时签发
支持公信证书所不被允许的超长有效期(最高达5年)
在有效期内可以无限制重新签发
自动CSR选项——可以创建私钥和CSR
无服务器限制
内网SSL证书如何使用
内网SSL证书支持在CN字段和SANs值中使用内部服务器名称和保留的IP地址;此外,在GlobalSign非公信CA下签发的单张证书中还支持混合搭配内部、FQDN、子域、通配符、全球IP地址。
-
本地主机名(例如:mysite.localhost)
-
保留的IP地址(例如:192.168.0.0)
-
全限定域名(www.mysite.com)
-
子域名(mail.mysite.com)
-
通配符(*.mysite.com)
-
全球IP地址(128.255.0.1)
内网SSL证书的根
GlobalSign的公信根证书早已嵌入操作系统、浏览器、设备等中。然而,内网SSL证书是由单独的、非公信CA所签发的----这就是它能够包含被公信证书所禁止的功能的原因,如:内部服务器名称、老旧系统的SHA-1算法、最高5年的超长有效期、不需要在证书透明度日志中被公布
为了使内网SSL证书在浏览器或者服务器-服务器通讯中被信任,签发的根需要通过GPO或者相关的企业工具被推送至每个客户端。这样客户端就不会接收到警告信息了。一旦这项工作完成,客户端将不会发现任何站点使用内网SSL证书与公信证书的区别了。
值得注意的是:如没有以上描述的场景需求,公信证书是可以在内部资源中使用的(例如:内部服务器名称、长有效期、SHA-1算法等)。如果需要任何关于如何选择SSL证书的帮助,请随时联系我们。
全面的证书管理
内网SSL证书可以直接从GlobalSign的PKI管理平台中签发,与公信证书一样,它可以为企业提供强大的证书全生命周期管理,唯一不同的是它是由GlobalSign非公信根所签发。
GlobalSign的PKI管理平台的优势:
-
基于云的SaaS证书管理平台降低了管理多个SSL证书所相关的成本、时间
-
支持多个实体在一个账户下,以及授权指定人操作完整、集中化的证书需求管理
-
灵活的商业条款,包括账户充值、按需付费以及证书和SANs许可包模式。
-
高容量和高可用的OCSP
-
本地扫描和发现工具来追踪需要内网SSL证书的内部服务器
-
通过我们的API接口实现完全自动化签发
GlobalSign为您提供所有的工具、服务、以及SSL证书以降低风险、应对威胁和控制SSL证书成本。立即与 GlobalSign一起管理您的SSL。