内网SSL证书到期了需要geng新吗？有没有什么特bie的方法？

哎，内网那个SSL证书过期了到底要不要geng新啊？我一开始觉得，内网又没人访问，过期就过期呗，反正公司防火墙在那儿挡着呢，Neng有啥事？后来啊被领导一顿说说我平安意识太差，搞得我一脸懵。后来上网搜了搜，发现这玩意儿还真是得geng新，不然麻烦大了。那到底咋geng新啊？有没有啥特bie省事的办法？我琢磨了半天加上自己踩的坑，给大伙儿说道说道，也不一定全对，反正我是这么弄的，不忍卒读。。

内网证书过期，真不用管？天真了！

hen多人跟我一样， 觉得内网就是公司内部用用，外面的人进不来SSL证书过期了无所谓，浏览器弹个警告点“高级”就Neng进呗。后来才知道，这想法太天真了！内网虽然外面进不来但里面的人多啊，而且dou是公司的员工，要是证书过期了问题可不少，划水。。

Zui直接的就是 员工访问内网网站的时候，浏览器会疯狂弹窗，说“不平安连接”“证书过期”，有的员工可Neng直接就不敢点了觉得是不是中毒了跑去问IT，IT忙得脚不沾地，全处理这些警告了正事dou耽误了。 太坑了。 我们公司之前有个OA系统，证书过期了好几个人跑来问我：“这网站是不是有问题啊？怎么老弹窗？”我解释了半天还是有人不敢用，再说说只Neng换了个浏览器，后来啊浏览器也弹，搞得大家怨声载道的。

geng吓人的是 要是内网有敏感数据，比如财务报表、员工工资单什么的，证书过期了通信就变成明文了！也就是说只要有人在内网抓包，这些数据douNeng被kan到！虽然内网dou是自己人，但谁知道有没有不老实的人呢？而且万一有黑客tong过什么漏洞进来了那数据不就全暴露了？我们公司技术老大说 之前有个客户，内网证书过期没管，后来啊被竞争对手黑进去，偷了产品设计图，损失了好几百万！想想dou后怕。

还有啊，现在不是dou讲究合规吗？什么《网络平安法》《数据平安法》，里面dou要求传输数据得加密。证书过期了等于没加密，要是被检查到了轻则批评教育， 太暖了。 重则罚款，公司声誉也受影响。suo以啊，内网SSL证书过期了真不Neng当kan不见，必须得geng新！

内网证书为啥会过期？咋发现的？

不地道。 可Neng有人问，SSL证书不dou是一年三年的吗？咋会这么快过期啊？其实原因挺多的。有的是买的证书， 到期了就得续；有的是自己搭的CA，生成的自签名证书，默认可Neng就一年，时间到了就过期；还有的是之前配的时候，手一抖，有效期设置短了几个月就过期了。我们公司之前有个测试环境， 用的自签名证书，我当时随便设了三个月，后来啊到期了直接崩了开发小哥们dou骂我，说我没常识。

那咋知道证书快过期了呢？总不Neng等员工来投诉了才发现吧？Zui笨的办法就是每个内网网站dou手动点开kankan，kankan证书还有多久到期。不过我们公司内网网站几十个，一个个点kan到猴年马月去。后来IT教了我个办法，用命令行查。比如在Windows上， 打开cmd，输入`certutil -verify -v -urlfetch 网址`， 也许吧... 就Nengkan到证书的详细信息，包括过期时间。在Linux上， 用`openssl s_client -connect 域名:443 | openssl x509 -noout -dates`，也Neng查到。不过这办法也挺麻烦，要一个个网站敲命令。

现在有那种监控工具，可yi定时扫描内网suo有SSL证书，快过期了就发邮件告警。我们公司后来装了个开源的， 叫什么“SSL证书监控”，配置起来也简单， 优化一下。 设个提前30天告警，到期前一周再提醒一次这样就有充足时间geng新了。不过这工具有时候也不准，会误报，得自己再核对一下。

内网证书geng新，麻烦得hen！有没有捷径？

说来说去，还是得geng新。那内网证书到底咋geng新啊？我跟你说这过程简直Neng逼死人！ 得了吧... 特bie是我们这种大公司，内网服务多，证书也多，geng新一次跟打仗似的。

先说说你得知道，你的证书是哪儿来的。如guo是买的公网证书， 虽然内网用有点浪费，但也行，到期了去原来的CA机构续就行，流程跟外网差不多，生成个CSR文件，提交审核，下载新证书，替换掉旧的。不过公网证书贵啊，我们公司内网才懒得花钱买呢，基本dou是自己搭CA，用自签名证书。

我们一起... 要是自签名证书，geng新起来就麻烦了。你得先在CA服务器上生成新的证书， ran后把这个新证书发到suo有需要geng新的服务器上，替换掉旧的证书文件，再重启服务。我们公司内网有台专门的CA服务器，每次geng新dou要找管CA的同事，他忙起来Neng拖好几天。有一次财务系统证书快过期了 我提前一周申请，后来啊CA服务器那边的同事出差了硬是拖到期前一天才弄，搞得我心惊胆战，生怕第二天财务不Neng用。

还有geng麻烦的， 有些服务用的不是标准的HTTPS，是那种自定义的SSL端口，huo者用SVN、Git这些工具走的HTTPS，证书过期了这些工具直接就连不上了！我们之前有个SVN服务器， 证书过期了开发人员用IDEA拉代码，直接报“Server SSL certificate rejected”， 我始终觉得... 急得他们直跺脚。后来查了半天 是IDEA不认这个过期证书，得去IDEA的设置里把“验证证书”关了huo者导入新的根证书。关了验证虽然Neng用，但总觉得不平安，万一有人中间人攻击呢？suo以还是得geng新证书。

大体上... 有没有啥特bie省事的办法？还真有！不过得kan你们公司环境。要是内网服务不多，就几个简单的，你可yi手动geng新，虽然慢点，但可控。要是服务多，像我公司这样，几十个上百个，那Zui好用自动化工具。我们后来试过用Ansible写了个剧本， 批量geng新证书，先把新证书传到服务器，再施行替换命令，再说说重启服务。不过这玩意儿也挺挑，有些服务路径不一样，还得改剧本，搞不好就把服务搞崩了测试了好几次才敢用。

还有一种办法，用免费的Let’s Encrypt证书。虽然它主要给外网用，但内网也Neng用。不过Let’s Encrypt的免费证书现在只有3个月有效期，得每3个月geng新一次麻烦得要死！我们试过一次用宝塔面板申请的，到期了宝塔会自动续，但有一次宝塔抽风，没续上，导致好几个网站挂了。后来就放弃了还是用自签名证书，虽然麻烦，但至少有效期长，Neng自己控制。

geng新证书踩过的坑，血泪教训！

我geng新内网证书的时候，踩了好多坑，现在想想dou想笑，但又有点后怕。

第一次geng新， 我以为跟外网一样，把旧证书删了生成新CSR，提交CA，拿到新证书，替换上去就行。后来啊替换完之后访问网站还是弹“证书不受信任”。后来才明白，自签名证书需要把CA的根证书也导入到客户端的信任列表里！不然客户端不认这个证书。 容我插一句... 我们公司员工电脑多， 一个个导入根本不现实后来IT搞了个组策略，把根证书推送到suo有电脑上，才解决了这个问题。suo以啊，自签名证书geng新，不光要geng新服务器的证书，还要同步geng新客户端的根证书，不然白搭。

还有一次我们geng新了一个核心业务系统的证书，替换完证书，重启服务，后来啊服务起不来了！报错说“证书密钥不匹配”。我当时就懵了证书和密钥是一起生成的啊，怎么会不匹配？后来查日志， 发现是之前备份的旧证书没删干净，新证书和旧证书文件名一样，但内容不对，导致服务加载了错误的证书。suo以啊，geng新证书之前，一定要把旧证书和私钥备份好，ran后彻底删除，避免文件冲突。

Zui坑的一次是 我们geng新了数据库的SSL证书，数据库用的是Oracle，证书路径藏得特bie深，在什么$ORACLE_HOME/network/admin下面。我按文档替换了证书，重启了数据库，后来啊连接数据库的应用全报错！后来查了半天 是Oracle的SQL*Net没认新证书， 简直了。 得手动配置一下`sqlnet.ora`文件，指定信任的根证书路径。搞了整整一下午，才把suo有应用连上。suo以啊，不同服务的证书geng新方式不一样，得提前kan好文档，不然真得抓瞎。

一下内网证书geng新到底该咋办？

啰嗦了这么多，其实就几句话：内网SSL证书过期了必须geng新！不然员工抱怨、数据有风险、还可Neng不合规。geng新之前先搞清楚证书来源，是自签名还是买的，geng新方式不一样。自签名证书麻烦点，要geng新服务器证书，还要同步客户端根证书；买的证书就按CA流程来。服务多的话Zui好用自动化工具，比如Ansible，Neng省不少事。geng新的时候一定要备份旧证书，避免出错，不同服务要注意特殊配置，往白了说...。

其实也没啥特bie的方法，就是细心点，提前规划，别等过期了才手忙脚乱。我们公司现在规定， suo有内网证书统一由IT部门管理，每季度检查一次有效期，提前一个月开始geng新流程，这样就没那么紧张了。虽然一开始麻烦点，但长期kan，确实省了不少事，求锤得锤。。

是吧？ 反正啊，内网平安无小事，SSL证书这种东西，kan着不起眼，真出问题了Neng要人命。大家别像我一开始那样掉以轻心，赶紧去kankan自己公司的内网证书有没有快到期的，早点geng新，安心！

PS：其实我也不太懂这些，dou是跟着IT大佬们学的，有说错的地方别喷我啊！ 还有， 那个SVN证书报错的， 操作一波。 记得去IDEA设置里关掉验证，huo者导入新证书，不然代码dou拉不下来开发会打死你的！@#￥%……&*