完成证书验证以确保对等点是您期望的对等点。在浏览器中验证服务器证书主要是通过检查 URL 中的主机名是否与证书中的名称匹配，并且您可以构建到本地受信任 CA 证书（即存储在浏览器中的根证书）的信任链或操作系统）。此外，还有到期和撤销检查。

为确保此过程按预期工作，证书颁发者必须验证您确实拥有证书中的主机名。这意味着，如果您能证明您拥有此名称，您只能获得由公共 CA 颁发的证书，这通常涉及具有此名称的主机是公开可见的 - 至少对于完成自动验证的廉价证书而言。当然，您可以通过实际公开可用的主机名（即可通过 访问的单个服务器*.example.com）来解决此问题，然后将颁发的证书用于您的内部系统。

（错误）以这种方式为内部系统使用公共 CA 有点丑陋，但应该可以正常工作。您仍然需要互联网连接，因为撤销检查将使用来自 CA 的信息，即来自本地网络之外的信息。这可以通过使用 OCSP 装订以某种方式受到限制，但并非所有客户端和服务器都支持这一点。如果您不允许您的客户端向外部 CA 请求撤销信息，则连接设置有时可能会很慢，因为客户端尝试获取撤销信息失败。

因此使用公共 CA 应该是可能的，但有缺点，感觉就像以错误的方式使用 CA 系统 - 所以我不推荐它。处理大量证书时，唯一的另一种选择是使用您自己的本地 CA。但是就像您自己意识到的那样，这意味着在您的所有本地系统上安装和信任根证书（这对于某些系统可以自动化）。这也意味着您确实必须保护这个本地 CA 不被滥用，因为它不仅限于颁发本地证书，而且理论上还可以为任何公共域（如 google.com）颁发证书。而且由于您所有的本地系统都信任此 CA，因此它们也会信任此证书。此外，当颁发者 CA 被明确添加为受信任时，在大多数系统中都不会检查证书固定。

这意味着没有一个真正好的选择：要么将公共 CA 用于具有所有缺点的内部主机，要么创建自己的具有所有缺点的 CA。我相信还会有公共 CA 可以帮助您解决这个问题，但这可能会比您想要的更昂贵。

“使用公共证书，但用于内部地址。”

这个选项效果很好，这就是我们所做的。

您实际上可以进行 HTTP 验证，证书不包含 IP 地址，仅包含 DNS 名称。因此，您可以将您的 DNS 指向外部服务、验证，然后将其指向内部 IP。

但如果您的 CA 支持 DNS 验证，它的效果会更好，因为您不必在每次需要更新时都更改条目。SSL 证书所做的只是验证您控制名称，因此如果您可以创建子域条目，那么您显然可以控制名称。

Letencrypt 的说明：https ://serverfault.com/questions/750902/how-to-use-lets-encrypt-dns-challenge-validation

更新：更好的机制的更好说明：https ://jsavoie.github.io/2021/06/01/letsencrypt.html

我自己也一直在研究这个，只是在一些内部 Web 应用程序上实现了 https。

首先在我们的内部 DNS 服务器上，我设置了一个新的正向查找区域 corp.domain.com 然后在其中设置一些 A/Cname 记录，webapp1.corp.domain.com 指向我们的内部 LAN IP

现在我们已经拥有 *.domain.com 的通配符 SSL 证书，因此我的证书请求中，我为 webapp1.corp.domain.com 创建了一个重复的 SSL 证书

将此安装到我们的 IIS 并在浏览器中显示为 SECURE :)

到目前为止，我发现的最佳解决方案是使用反向代理（例如 Caddy）来处理证书（颁发和续订），设置 DNS 服务器以将所有内部主机名指向 Caddy 服务器，一切都会自动运行。如果您只想限制对内部的访问，您可以关闭端口 80，直到您的证书需要续订。