轻松应对 SSL IP 证书的颁发与部署：申请和安装中的挑战

SSL证书当前是全球的安全加密重要配置，已经成为重要的基础设施之一。SSL证书主要分为绑定域名的SSL证书和绑定IP地址的SSL证书，当然还有邮件SSL证书等。

今天遇到一些申请IP地址的SSL证书，申请来说并不难，和绑定域名的SSL证书几乎一致，只是把域名换成IP地址即可。在这里强调一下，IP地址需要是公网IP。

IP证书主要的申请步骤：

1、购买支持IP地址的SSL证书，目前sectigo品牌支持ip地址的比较多。

2、在证书信息界面提交IP地址或联系客服协助处理，必须是公网IP。

3、由于IP地址的唯一性，默认用文件来进行验证，这就需要把验证文件上传到服务器的指定位置。

4、验证完成后，下载IP证书安装到服务器上面。

注意，在验证过程中，需要使用80或者443端口进行验证。

IP证书的安装：

和域名型的SSL没什么差别，必须开启443端口。

1、将证书文件上传至服务器后，根据您的Web服务器类型进行配置：

Nginx 服务器配置

上传证书文件到服务器，编辑nginx.conf配置文件，添加如下配置

server {

listen 443 ssl;

server_name 您的公网IP地址;

ssl_certificate /path/to/your_certificate.crt; # 证书文件路径

ssl_certificate_key /path/to/your_private.key; # 私钥文件路径

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers HIGH:!aNULL:!MD5;

}

重启 Nginx 服务使配置生效（如 systemctl restart nginx）

Apache 服务器配置

启用SSL模块

编辑 httpd.conf 或虚拟主机配置文件，添加：

<VirtualHost *:443>

    ServerName 您的公网IP地址

    SSLEngine on

    SSLCertificateFile /path/to/your_certificate.crt

    SSLCertificateKeyFile /path/to/your_private.key

    SSLCertificateChainFile /path/to/intermediate_ca.crt # 中间证书

</VirtualHost>

重启 Apache 服务（如 systemctl restart httpd）

IIS 服务器配置（Windows）

打开 IIS 管理器，在服务器级别选择“服务器证书”并导入下载的 .pfx 格式证书文件。

选中需要配置的网站，点击右侧的“绑定...”。

在弹出的窗口中点击“添加”，类型选择 https，端口填写 443，并在 SSL 证书下拉框中选择刚刚导入的证书，点击确定。

IP证书不支持通配符（如 192.168.*.*），若IP发生变更，通常需要重新申请证书。

有客户问到了SSL证书的SAN和SNI，这个其实是唯一性决定的，由于域名可以对应多个，不是唯一的，所以一般的域名SSL证书都是有SAN的也就是使用者可选名称。而IP地址是唯一的，所以不需要进行区分具体是哪个目标，所以走的是SNI模式。

关于SAN和SNI的标准

SSL/TLS 证书的颁发遵循 CA/Browser Forum (CA/浏览器论坛) 制定的《基线要求》。这是全球所有受信任证书颁发机构必须遵守的法律级技术规范。

关于 SAN： 《基线要求》明确规定，自2016年起，公共信任的 SSL 证书必须包含 Subject Alternative Name 字段。对于 IP 证书，IP 地址必须以 iPAddress 类型写入 SAN 扩展中。如果只写在 Common Name 里而不写在 SAN 里，现代浏览器会直接报错拒绝连接。

关于 SNI： SNI 协议的设计初衷就是为了解决“一个 IP 托管多个域名”的问题。当客户端直接通过 IP 访问时，握手的目标已经是确定的 IP，不存在“多租户混淆”的问题，因此协议层面不需要也不支持在 Client Hello 中通过 SNI 传递 IP 地址作为身份标识。

爱名网SSL证书支持全球主流品牌的SSL证书，以及国密SSL证书，当然也支持IP证书的申请，支持RSA算法、SM2算法（国密），价格还算是比较公道的，还可以找客服要优惠券，来官网ssl.22.cn上面选一选吧。