云服务器与本地服务器本质一致,云服务器可通过公网IP绑定域名并签发SSL证书实现HTTPS访问,本地服务器同样可通过局域网IP绑定内网域名、签发SSL证书,达成HTTPS访问需求。本文结合实际部署环境,详细讲解内网环境下SSL证书的签发流程。

本地环境部署说明(按以下步骤完成基础环境搭建):

1. X86实体机安装飞牛fnOS系统;

2. 打开飞牛fnOS应用商店,搜索并安装1panel;

3. 进入1panel管理界面,部署Nginx Proxy Manager(简称NPM)容器。

一、核心前提:本地CA与自签名证书的定义

内网环境下实现HTTPS访问,需采用“本地CA+自签名证书”的方式,其核心逻辑的如下,理解核心定义即可顺利完成后续操作:

  • 私有CA(根证书):内网环境中自行搭建的证书颁发机构,作为内网信任体系的核心根节点,可自主创建、管控;

  • 域名证书:通过私有CA签发,与内网域名(如fn.hzh.cn)对应的SSL证书,用于验证内网域名的合法性;

  • 信任逻辑:在所有内网设备(计算机、移动设备等)上完成私有CA根证书的信任配置后,该CA签发的所有域名证书均可被设备自动信任,无需逐个对域名证书进行信任配置,提升部署效率。

二、核心操作:基于OpenSSL生成自签名证书

采用OpenSSL生成证书的核心原因的是,1Panel证书生成界面不支持手动配置证书用途字段,而飞牛fnOS系统默认预装OpenSSL,可直接在宿主机终端执行命令生成证书,确保证书包含服务器所需全部字段,全程可管控。

重要提示:所有命令中的「fn.hzh.cn」需替换为实际使用的内网域名,避免直接复制执行。

步骤1:生成符合服务器要求的自签名证书

打开飞牛fnOS宿主机终端,按顺序执行以下命令,无需深入理解命令原理,确保命令准确执行即可:

# 1. 创建证书目录(统一管理证书文件,避免混乱)
sudo mkdir -p /opt/ssl && cd /opt/ssl

# 2. 生成证书私钥(无密码配置,适配NPM使用需求)
sudo openssl genrsa -out fn.hzh.cn.key 2048

# 3. 生成证书请求(指定服务器用途,确保证书适配服务器场景)
sudo openssl req -new -key fn.hzh.cn.key -out fn.hzh.cn.csr \
  -subj "/CN=fn.hzh.cn" \
  -addext "keyUsage = digitalSignature,keyEncipherment" \
  -addext "extendedKeyUsage = serverAuth" \
  -addext "subjectAltName = DNS:fn.hzh.cn"

# 4. 生成自签证书(有效期1年,自动继承上述用途配置)
sudo openssl x509 -req -days 365 -in fn.hzh.cn.csr -signkey fn.hzh.cn.key -out fn.hzh.cn.crt \
  -copy_extensions copyall
QQ截图20260205230354.png

步骤2:证书有效性验证

在终端执行以下命令,检查证书用途字段是否符合要求,避免后续部署出现异常:

openssl x509 -in /opt/ssl/fn.hzh.cn.crt -text -noout

命令执行完成后,找到「Key Usage」和「Extended Key Usage」字段,若显示以下内容,则说明证书符合服务器HTTPS访问要求:

Key Usage: Digital Signature, Key Encipherment

Extended Key Usage: TLS Web Server Authentication

步骤3:将证书导入NPM

按以下步骤操作,将生成的证书导入NPM管理界面,操作流程如下:

  1. 登录NPM管理界面,找到「添加自定义证书」功能入口;

  2. 证书名称:填写可识别的名称(如“fn.hzh.cn-内网SSL证书”);

  3. 证书密钥:选择路径「/opt/ssl/fn.hzh.cn.key」;

  4. 证书文件:选择路径「/opt/ssl/fn.hzh.cn.crt」;

  5. 中间证书:无需配置,保持空白即可;

  6. 点击「保存」按钮,完成证书导入操作。

QQ截图20260205231629-1770304627721.png

步骤4:配置代理服务SSL参数

在NPM管理界面中,完成代理服务的SSL配置,具体步骤如下:

  1. 进入代理服务的「SSL」配置界面;

  2. 证书选择:选中刚导入的内网SSL证书(如“fn.hzh.cn-内网SSL证书”);

  3. 功能配置:勾选「强制SSL」和「HTTP/2 支持」选项,提升访问安全性和效率;

  4. 点击「保存」按钮,完成SSL参数配置。

步骤5:配置内网设备信任证书(以Windows系统为例)

需在所有内网访问设备上配置证书信任,否则浏览器会提示安全警告,Windows系统配置步骤如下:

  1. 证书导出:打开浏览器证书查看器,切换至「常规」选项卡,点击「复制到文件」,按照向导提示选择「Base-64 编码的 X.509 (.CER)」格式,将证书保存至本地(建议命名为fn.hzh.cn.cer,便于识别);

  2. 证书导入:右键点击保存的证书文件,选择「安装证书」;

  3. 选择存储位置:勾选「本地计算机」(若选择“当前用户”,则仅当前账号可信任该证书),点击「下一步」;

  4. 证书存储配置:选择「将所有证书放入下列存储」,点击「浏览」,选中「受信任的根证书颁发机构」,点击「确定」;

  5. 完成导入:依次点击「下一步」「完成」,弹出“导入成功”提示后,即完成Windows系统的证书信任配置。

image-1770304793438.png

三、部署验证:HTTPS访问测试

完成上述所有操作后,进行HTTPS访问验证,确认部署成功:打开浏览器,输入内网域名(如https://fn.hzh.cn),若浏览器无安全警告且可正常加载页面,说明内网SSL证书签发及部署全部完成。

QQ截图20260205232108-1770304898389.png