引言
那天在項目組會議時���,小伙伴突然拋出一個問題:
“用戶說要把某某系統(tǒng)升級成 HTTPS,他們有OV證書��,但——沒有域名�����?���!?/span>
我當時愣住了:
這在我的認知里���,基本就是不可能三角——SSL 證書怎么可能不用綁定域名呢����?
然而��,后來我看了用戶的云服務商提供的資料和申請過程�����,才發(fā)現(xiàn)——是我孤陋寡聞了���。原來真的可以,而且還是正規(guī)的���、安全的���、受瀏覽器信任的 HTTPS 訪問。
背景知識
大多數(shù)情況下��,我們談到的 SSL/TLS 證書都是基于?域名(FQDN)?來簽發(fā)的,比如:
證書頒發(fā)機構(CA)會驗證你對這個域名的控制權����,然后簽發(fā)證書。
如果沒有域名�����,就只能選擇:
- ? 用 IP 訪問(大多數(shù)瀏覽器直接報錯)
- ? 用自簽名證書(用戶每次訪問都要手動點“信任”)
所以**“無域名 + 公網(wǎng) + 受信證書”**�����,聽起來簡直是天方夜譚����。
但實際上:一般云服務商也會提供一種特殊類型的證書——基于公網(wǎng) IP 的 SSL 證書,也叫?IP SSL Certificate����。
這種證書不是給域名簽發(fā)的,而是直接對公網(wǎng) IP 進行驗證和簽發(fā)�,只要:
- 1. 你有固定公網(wǎng) IP(云服務器提供)
證書頒發(fā)機構就能給你一張直接綁定 IP?的 SSL 證書。
這樣一來�,你訪問?https://<公網(wǎng)IP>?時,瀏覽器就能通過驗證���,直接顯示小鎖標志??�����。
申請與使用過程
我按照用戶云服務商的流程體驗了一遍��,大致分為 4 步:·
1. 登錄云服務商控制臺
進入證書管理服務���,選擇“申請 IP SSL 證書”�。
?
2. 填寫申請信息
以下為該服務器廠商的填寫步驟����,不代表所有的服務器廠商
- ? 公網(wǎng) IP 地址(必須是你賬號下的云服務器 IP)
- ? 證書密鑰算法:可選擇“RSA”���、“ECC”或“SM2”(根據(jù)購買證書頁面所選的加密標準選擇)
3. 證書申請驗證
以下為該服務器廠商的驗證步驟����,不代表所有的服務器廠商
- ? 人工驗證�,需要下載的確認函,由服務器擁有負責人填寫相關信息并蓋章上傳
- ? 進行文件驗證�,通過80/443端口訪問指定的文件進行驗證(我要是能使用443端口我還需要你證書干嘛)
4. 下載并部署證書
申請完成后,可以下載:
然后在 Nginx����、Apache 或你的應用服務器中配置即可:
server?{
? ??listen?443?ssl;
? ??server_name?<你的公網(wǎng)IP>;
? ??ssl_certificate?/etc/nginx/ssl/ip-cert.crt;
? ??ssl_certificate_key?/etc/nginx/ssl/ip-cert.key;
? ??location?/ {
? ? ? ??root?/var/www/html;
? ? }
}
使用效果
部署完成后�,訪問?https://<公網(wǎng)IP>:
- ? 數(shù)據(jù)傳輸加密����,抓包也是密文
總結
原來,沒有域名也能擁有安全�����、受信任的 HTTPS 訪問���,關鍵就在于?IP SSL 證書�����。
它的應用場景包括:
- ? 內部系統(tǒng)要臨時暴露到公網(wǎng)
這次的經(jīng)歷讓我意識到:技術世界很大��,很多我們覺得“理所當然”的事情�,其實都有另一種解法�,還是需要多了解,多學習�。
閱讀原文:原文鏈接
該文章在 2025/8/18 10:58:19 編輯過
400 186 1886
