一、技术背景与核心价值

在现代化企业IT架构中，内网服务（如OA系统、数据库管理后台、API网关等）的安全访问需求日益凸显。传统HTTP协议存在明文传输风险，而直接暴露内网服务到公网又可能引发安全漏洞。通过在局域网内建立HTTPS域名访问体系，既能实现加密通信，又能通过统一域名管理提升访问便利性，特别适用于以下场景：

1. 混合云架构：公有云服务与私有数据中心协同工作时，需安全访问内网API
2. 多分支机构：总部与分支机构间需要加密传输业务数据
3. 开发测试环境：为本地开发服务提供标准化HTTPS访问接口

该方案的核心价值体现在三方面：数据传输加密（TLS 1.2+）、身份验证强化（证书链验证）、访问路径标准化（统一域名管理）。

二、技术实现路径

1. 证书体系构建

自签名证书生成（开发测试环境）

# 使用OpenSSL生成根证书
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.crt \
  -subj "/C=CN/ST=Beijing/L=Haidian/O=DevTeam/CN=InternalRootCA"
# 生成服务端证书（需与实际域名匹配）
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr \
  -subj "/C=CN/ST=Beijing/L=Haidian/O=DevTeam/CN=api.internal.example.com"
openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial \
  -out server.crt -days 365 -sha256

关键点：

• 证书有效期建议不超过2年
• SAN字段需包含所有计划访问的域名
• 开发环境可使用通配符证书（*.internal.example.com）

商业证书配置（生产环境）

推荐使用DigiCert、GlobalSign等CA机构颁发的OV/EV证书，需完成：

1. 域名所有权验证（DNS记录/文件上传）
2. 组织信息验证（营业执照等）
3. 证书链完整性检查（需包含中间证书）

2. 反向代理部署

以Nginx为例的典型配置：

server {
    listen 443 ssl;
    server_name api.internal.example.com;
    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    location / {
        proxy_pass http://192.168.1.100:8080;  # 内网服务地址
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

优化建议：

• 启用HTTP/2提升传输效率
• 配置SSL会话缓存（ssl_session_cache shared10m）
• 设置HSTS头（add_header Strict-Transport-Security “max-age=63072000”）

3. 内部DNS解析

Windows AD环境配置

1. 在DNS管理器中创建正向查找区域internal.example.com
2. 添加主机记录：
   • 名称：api
   • IP地址：Nginx服务器IP
3. 配置客户端优先使用内部DNS（通过DHCP选项6或静态配置）

Linux环境配置

修改/etc/hosts文件（临时方案）：

192.168.1.5 api.internal.example.com

或部署Dnsmasq：

# /etc/dnsmasq.conf
address=/api.internal.example.com/192.168.1.5
interface=eth0
bind-interfaces

4. 客户端信任配置

浏览器信任根证书

1. 导出根证书（rootCA.crt）
2. 在Windows中双击安装到”受信任的根证书颁发机构”
3. 在Mac中通过”钥匙串访问”添加并设置为”始终信任”

移动端配置

Android需将证书放入/system/etc/security/cacerts/（需root权限），或通过企业MDM系统推送。iOS需通过配置描述文件安装。

三、安全加固方案

1. 访问控制

• IP白名单：在Nginx中配置allow 192.168.1.0/24; deny all;
• 基本认证：

  location / {
      auth_basic "Restricted Area";
      auth_basic_user_file /etc/nginx/.htpasswd;
  }

  生成密码文件：openssl passwd -apr1

2. 证书管理

• 定期轮换证书（建议每90天）
• 建立证书吊销列表（CRL）或使用OCSP Stapling
• 自动化证书更新（使用Let’s Encrypt的Certbot或HashiCorp Vault）

3. 监控告警

• 配置Nginx日志分析（访问量、错误码、敏感路径访问）
• 集成Prometheus监控TLS握手成功率
• 设置异常访问告警（如非工作时间访问）

四、典型部署架构

1. 单节点部署

客户端 → [局域网DNS] → Nginx(HTTPS) → 内网服务

适用场景：小型团队、开发测试环境

2. 高可用架构

客户端 → [负载均衡器] → Nginx集群 → 内网服务集群

关键设计：

• 保持会话亲和性（基于源IP或cookie）
• 配置健康检查（/healthz接口）
• 证书同步机制（共享存储或自动化分发）

3. 混合云架构

公网客户端 → [CDN/WAF] → 跳板机(VPN/ZeroTrust) → 局域网Nginx → 内网服务

安全要点：

• 跳板机实施最小权限原则
• 双向TLS认证（mTLS）
• 网络分段（VPC对等连接）

五、故障排查指南

常见问题

1. 证书不受信任：

   • 检查证书链完整性（openssl verify -CAfile rootCA.crt server.crt）
   • 确认客户端时间是否正确

2. 连接超时：

   • 检查防火墙规则（443端口入站）
   • 验证Nginx工作进程状态（ps aux | grep nginx）

3. 502错误：

   • 检查后端服务状态（curl http://192.168.1.100:8080）
   • 调整代理超时设置（proxy_connect_timeout 60s）

诊断工具

• 证书分析：openssl s_client -connect api.internal.example.com:443 -showcerts
• 网络抓包：tcpdump -i eth0 host api.internal.example.com and port 443
• 日志分析：tail -f /var/log/nginx/error.log | grep "SSL"

六、扩展应用场景

1. 微服务架构：为每个服务分配独立子域名（service1.internal.example.com）
2. IoT设备管理：通过HTTPS安全传输设备固件
3. CI/CD管道：为构建系统提供安全访问接口
4. 数据库访问：通过代理层实现加密的MySQL/PostgreSQL访问

通过系统化的证书管理、反向代理配置和DNS解析，企业可以在局域网内构建起安全可靠的HTTPS访问体系。实际部署时建议先在测试环境验证完整流程，再逐步推广到生产环境，同时建立完善的证书生命周期管理和安全监控机制。