IP SSL证书全面指南(也叫“IP证书”)
当你需要用 IP 地址(而不是域名)来提供 HTTPS/TLS 加密时,就会用到 IP SSL 证书,本质上 IP SSL证书就是一种SSL证书,只不过很多CA机构的SSL证书只支持域名,而不支持IP地址。它跟普通的域名证书很像,但验证、兼容性与运维细节略有不同。本文一次讲清:它是什么、适用场景、如何申请与部署、常见坑与最佳实践。
关于IP证书的型号和价格,请参考:https://www.ihuandu.com/ssl/ip.html
什么是 IP SSL 证书?
定义:由受信任 CA(或自建 CA)签发,在证书的 Subject Alternative Name(SAN)里包含一个或多个 iP Address(IPv4/IPv6)的服务器证书。
区别于域名证书:域名证书的 SAN 放的是域名;IP 证书则放 iP 地址。浏览器或客户端会把你访问的 IP 与证书中的 iP 地址做精确匹配(不支持通配符)。
握手流程:TLS 握手本身不要求域名;客户端验证阶段会检查证书是否:
由受信任 CA 签发且链条完整;
未过期/未吊销;
SAN 里有与你访问的相同的 IP;
策略(密钥长度、算法、EKU 等)合规。
什么时候会用 IP 证书?
没有稳定域名:临时环境、演示环境、故障切换地址等只通过 IP 提供服务。
设备直连/IoT/工业控制:很多嵌入式设备只配置 IP,无法可靠接入 DNS。
高安全或隔离网络:内部网段、零信任入口、无需或不允许内部 DNS 解析。
上游/回源链路:反向代理到源站时用 IP 访问并要求 TLS 校验。
旧系统兼容:历史系统以 IP 为主的访问模式。
不建议 的情况:
IP 经常变动(动态公网、弹性伸缩未配固定 IP)。
多租户共用一个 IP(存在证书与归属风险)。
你已经有稳定域名(域名证书更灵活、更易运维)。
公共 CA 能给 IP 签吗?
可以,但受约束:多数公共 CA 仅对可路由的公网 IP签发,并要求你证明对该 IP 的控制权(如在该 IP 上完成指定的 HTTP/TLS 验证)。
私有地址(如 192.168.0.1 等)通常不能由公共 CA签发l浏览器信任的可信证书,这类场景常由CA签发内网证书,或用内部企业 CA 或 私有 PKI。
通配符不适用:IP 没有“子域”的概念,SAN 里每个 IP 都要逐一列出。
实操上,先确认你的 CA 是否支持 IP 证书,以及它接受哪些验证方式。
兼容性与客户端行为
主流浏览器/OS/HTTP 客户端:只要证书链受信、SAN 包含目标 IP,一般可通过。
移动端/嵌入式:某些老旧 TLS 库不识别 IP SAN 或校验策略不同,需实测。
SNI 与虚拟主机:SNI 本质上传主机名(域名),IP 访问通常不会带有有用的 SNI;若同一 IP:port 上托管多个 TLS 站点,基于 SNI 的虚拟主机将不起作用,你需要:
分配不同 IP,或
仍然使用域名证书 + SNI。
申请与生成(CSR)要点
可使用环度网信证书工具:https://tools.ihuandu.com
或者参考服务器上生成 CSR 的教程:https://www.ihuandu.com/help/csr.html
服务器部署示例
更多部署教程见:https://www.ihuandu.com/help/install.html
Nginx
nginx复制编辑server { listen 443 ssl; # 这里不依赖 server_name;因为你用 IP 访问
ssl_certificate /etc/ssl/fullchain.crt; # 含服务器证书+中间证书
ssl_certificate_key /etc/ssl/server.key; # 推荐的安全套件(示例,按你环境/合规策略调整)
ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; location / { proxy_pass http://127.0.0.1:8080;
}
}Apache httpd
apache复制编辑<VirtualHost _default_:443> SSLEngine on SSLCertificateFile /etc/ssl/server.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/intermediate-ca.crt # 若用同一 IP:443 提供多个站点,这里会受限(无 SNI 主机名可区分) DocumentRoot "/var/www/html" </VirtualHost>
常见问题与排错
浏览器提示“证书无效/不匹配”
检查 SAN 是否包含你访问的精确 IP(注意 IPv6 大小写无关但格式要标准)。
确认你访问的是 https://你的IP地址 (不是域名)。
确认完整证书链已正确配置,并受系统信任。
同一 IP 托管多个 HTTPS 站点
IP 访问下无法依赖 SNI 选择不同证书;为不同站点分配不同端口或 IP。
内网 IP 想用公共 CA
联系环度网信客服获取内网IP证书的相关方案,需要注意的是,内网IP证书一般情况下是不受浏览器默认信任的。
IP 变更
证书需要重新签发(SAN 是固定值)。对经常更换的 IP,不建议用 IP 证书。
安全与合规注意事项
密钥管理:妥善保管 server.key,建议 2048/3072 位 RSA 或 SM2国密算法(内网比较推荐)。
最小权限:仅在需要的机器部署证书与私钥。
有效期与更新:注意证书有效期,尽早续签并自动化。
审计:记录签发、部署、吊销与轮转流程。
预生产验收:在多类客户端(桌面浏览器、移动端、SDK、代理)逐一验证。
与域名证书的对比速查表
| 对比项 | IP 证书 | 域名证书 |
|---|---|---|
| 标识对象 | IP(iPAddress) | 域名(DNS Name) |
| 动态扩展性 | 差(IP 变更需重签) | 好(CNAME/流量切换更灵活) |
| 虚拟主机(SNI) | 受限(无域名 SNI) | 完整支持 |
| 公共 CA 支持 | 仅公网 IP、验证严格 | 普遍支持 |
| 内网场景 | 建议用内网证书(可联系环度网信) | 可用内部 CA;公共 CA 一般不签内网域 |
| 典型用途 | 设备直连、隔离网、上游回源 | 面向公众的站点与 API |
最佳实践清单
先评估:是否必须用 IP(能用域名更优)。
确认 CA 支持为你的 公网 IP 签发,并了解验证方式。
用 OpenSSL 等正确生成 含 IP SAN 的 CSR。
部署完整证书链。
若同一 IP:443 需要多站点,改为不同端口或不同 IP。
在目标客户端矩阵上做兼容性测试。
简短 FAQ
Q:可以同时把域名和 IP 写进同一张证书吗?
A:上海环度信息科技发布的环安信KeepTrust支持您将域名和IP地址混在同一个证书文件种,把两者都写进 SAN。注意仍要验证相应的控制权。
Q:IPv6 怎么写进证书?
A:环安信KeepTrust支持 IPv6。
Q:如何申请 IP 证书
A:在线选择证书型号并提交配合验证即可 https://www.ihuandu.com/ssl/ip.html 。
- 扫一扫二维码可分享朋友或朋友圈
