一、核心需求与实现价值

在现代化办公环境中，企业内网服务（如OA系统、项目管理工具、数据库服务等）常通过IP地址或简单域名访问，存在三大痛点：安全性不足（明文传输易被窃听）、管理复杂（IP变动需频繁更新客户端配置）、用户体验差（无域名记忆成本高）。通过HTTPS域名访问内网服务，可实现以下价值：

1. 数据加密：通过TLS协议保护传输数据，防止中间人攻击；
2. 统一入口：使用易记域名（如oa.company.local）替代IP，降低维护成本；
3. 合规性：满足等保2.0对数据传输加密的要求。

二、技术实现路径

1. 证书配置：自签名证书与私有CA

自签名证书（快速验证）

适用于测试环境或小型团队，使用OpenSSL生成证书：

# 生成私钥
openssl genrsa -out private.key 2048
# 生成证书请求（CN需与访问域名一致）
openssl req -new -key private.key -out cert.csr -subj "/CN=oa.company.local"
# 自签名证书（有效期365天）
openssl x509 -req -days 365 -in cert.csr -signkey private.key -out cert.crt

局限性：浏览器会提示“不安全”，需手动信任证书。

私有CA（企业级方案）

通过私有CA签发证书，解决自签名证书的信任问题：

1. 搭建私有CA：使用openssl-ca工具或企业级PKI系统（如Microsoft ADCS）；
2. 签发证书：

   # 生成CA根证书
   openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3650 -subj "/CN=CompanyCA"
   # 为内网服务签发证书
   openssl req -new -key service.key -out service.csr -subj "/CN=oa.company.local"
   openssl x509 -req -in service.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out service.crt -days 730

3. 分发CA证书：将ca.crt导入客户端的信任证书库（Windows通过MMC，Linux通过update-ca-certificates）。

2. 反向代理：Nginx配置示例

反向代理是连接外网域名与内网服务的核心组件，以Nginx为例：

server {
    listen 443 ssl;
    server_name oa.company.local;
    ssl_certificate /path/to/service.crt;
    ssl_certificate_key /path/to/private.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    location / {
        proxy_pass http://192.168.1.100:8080;  # 内网服务实际地址
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

关键配置说明：

• ssl_certificate与ssl_certificate_key：指向证书与私钥文件；
• proxy_pass：指向内网服务的真实IP和端口；
• ssl_protocols：禁用不安全的TLS版本（如TLSv1.0）。

3. DNS解析：本地DNS与Hosts文件

方案一：本地DNS服务器

在企业网络中部署DNS服务器（如Bind9或Windows DNS），配置域名解析：

oa.company.local.  IN  A  192.168.1.100

优点：集中管理，支持动态更新。

方案二：Hosts文件修改

适用于小型网络或临时测试，在客户端修改C:\Windows\System32\drivers\etc\hosts（Windows）或/etc/hosts（Linux）：

192.168.1.100 oa.company.local

局限性：需在每台客户端手动配置，维护成本高。

三、安全加固措施

1. 访问控制

• IP白名单：在Nginx中限制仅允许内网IP访问：

  allow 192.168.1.0/24;
  deny all;

• 基本认证：结合htpasswd添加用户名/密码验证：

  htpasswd -c /etc/nginx/.htpasswd admin

  location / {
      auth_basic "Restricted Area";
      auth_basic_user_file /etc/nginx/.htpasswd;
      proxy_pass http://192.168.1.100:8080;
  }

2. HSTS与CSP

在Nginx中启用HSTS（HTTP严格传输安全）和CSP（内容安全策略）：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self'";

作用：

• HSTS：强制浏览器仅通过HTTPS访问；
• CSP：防止XSS攻击。

3. 证书自动更新

使用Certbot等工具自动化证书续期（需支持ACME协议的私有CA）：

certbot certonly --manual --preferred-challenges dns -d oa.company.local

或编写脚本定期检查证书有效期并触发续期。

四、部署与测试

1. 部署流程

1. 环境准备：安装Nginx、OpenSSL，配置私有CA（如需）；
2. 证书生成：为内网服务签发证书；
3. 代理配置：编写Nginx配置文件并测试；
4. DNS解析：配置本地DNS或Hosts文件；
5. 客户端测试：通过浏览器访问https://oa.company.local，验证证书与功能。

2. 故障排查

• 证书错误：检查域名与CN是否一致，确认CA证书已导入信任库；
• 代理失败：检查proxy_pass地址与端口，使用curl -v调试；
• DNS解析失败：通过nslookup oa.company.local或ping oa.company.local验证。

五、扩展场景

1. 多服务负载均衡

通过Nginx的upstream模块实现多节点负载均衡：

upstream backend {
    server 192.168.1.100:8080;
    server 192.168.1.101:8080;
}
server {
    listen 443 ssl;
    server_name oa.company.local;
    location / {
        proxy_pass http://backend;
    }
}

2. 混合云场景

若部分服务部署在公网云（如AWS、Azure），可通过内网穿透工具（如Frp、Ngrok）或VPN建立安全通道，再通过Nginx统一代理。

六、总结与建议

实现局域网HTTPS域名访问内网服务，需综合考虑证书管理、反向代理、DNS解析与安全加固四大环节。对于中小企业，推荐采用私有CA+Nginx+本地DNS的方案，兼顾安全性与成本；对于大型企业，可结合PKI体系与自动化运维工具（如Ansible）实现规模化部署。

最终建议：

1. 优先使用私有CA而非自签名证书；
2. 定期更新证书与Nginx配置；
3. 结合访问控制与安全策略降低风险。