內網的https認證

| index | Recent | contents | work log | todo |

在公司內網無法使用 Let's Encrypt 的情況下,可以改用 自簽憑證 、企業內部 CA、或是 支援 DNS 驗證的第三方 CA(如 ZeroSSL)。這些方法不需要公開 IP,就能在內網環境中部署 HTTPS。

🔑 可行替代方案

  • 自簽憑證 (Self-signed certificate)
    • 最簡單的方式,不需要外部 CA。
    • 缺點是瀏覽器會顯示「不受信任」,需要手動安裝到用戶端的信任憑證庫。
    • 適合純內部系統,使用者可控。
  • 企業內部 CA (Private CA)
    • 在公司內部架設憑證簽發系統(例如 Microsoft AD CS、OpenSSL、CFSSL)。
    • 由 IT 部門統一簽發並分發憑證給內網伺服器。
    • 使用者端只要安裝並信任企業 CA 根憑證,就能避免瀏覽器警告。
    • 適合規模較大的企業,能集中管理。
  • 第三方 CA,使用 DNS 驗證
    • Let's Encrypt 或 ZeroSSL 都支援 DNS-01 驗證,不需要伺服器有公開 IP。
    • 只要能修改公司域名的 DNS 記錄,就能完成憑證簽發。
    • 常用工具:acme.sh、certbot,可自動更新 DNS 記錄並續期。
    • ZeroSSL 是常見替代方案,支援 ACME 協議。
  • 購買付費憑證 (DigiCert、GlobalSign 等)
    • 付費 CA 通常也支援 DNS 驗證方式。
    • 可選擇更高等級的憑證(OV/EV),顯示公司名稱。
    • 適合需要對外公開或有合規需求的系統。

📌 實務建議

  • 如果只是 內部測試或內網系統 → 建議用 自簽憑證 或 內部 CA。
  • 如果需要 外部使用者也能安全存取 → 建議用 DNS 驗證的第三方 CA(ZeroSSL、Let's Encrypt)。
  • 若公司有 合規或商業需求 → 考慮購買 付費憑證。

👉 總結:沒有公開 IP 的內網環境,最佳做法是 DNS 驗證方式 或 內部 CA。這樣既能保持 HTTPS 加密,又能避免 Let's Encrypt 無法驗證的問題。

Also See

File2FileLast Modified
自簽憑證 self-signed certificate自簽憑證 self-signed certificate2:24 PM - January 12, 2026
完整流程圖-從 Root CA → 伺服器憑證 → 用戶端信任架構完整流程圖-從 Root CA → 伺服器憑證 → 用戶端信任架構2:24 PM - January 12, 2026
Interactive Graph
Table Of Contents
內網的https認證
Also See