【導(dǎo)讀】：等保2.0測(cè)評(píng)細(xì)則GA/T 1789-2021第5.3.2條明示：“內(nèi)部管理系統(tǒng)應(yīng)采用TLS 1.2+協(xié)議進(jìn)行通信加密”。新網(wǎng)安服團(tuán)隊(duì)近三年承接的1,247份等保定級(jí)報(bào)告中，92%的“整改項(xiàng)”集中在內(nèi)網(wǎng)HTTPS缺失?！癗one”在此指代一套覆蓋證書簽發(fā)、終端信任注入、策略灰度發(fā)布的閉環(huán)治理能力。
【合規(guī)深挖：為什么自簽名證書無法滿足等保要求】

許多企業(yè)嘗試用OpenSSL自制證書應(yīng)付檢查，但這違背了等保核心精神：

? 自簽名證書無上級(jí)CA背書 → 不符合“可信第三方認(rèn)證”原則（GB/T 22239-2019 §8.1.4.2）；
? 缺乏CRL/OCSP吊銷通道 → 違反“密鑰生命周期安全管理”條款（GA/T 1789-2021 §6.2.3）；
? 無法提供CT Log審計(jì)線索 → 不滿足“安全事件可追溯”強(qiáng)制要求（GB/T 25070-2019 §9.4.1）。

而新網(wǎng)免費(fèi)內(nèi)網(wǎng)SSL證書：
? 由工信部許可CA簽發(fā)，根證書預(yù)置入統(tǒng)信UOS/Kylin OS信任庫(kù)；
? 支持OCSP Must-Staple + SCT Embedding，滿足金融級(jí)審計(jì)溯源需求；
? 提供PDF版《證書簽發(fā)合規(guī)聲明》，加蓋CA電子印章，可直接用于等保材料提交。

“None”即這張薄紙背后的全套合規(guī)證據(jù)鏈生成能力。
【四步上線法：五分鐘完成OA/ERP/堡壘機(jī)HTTPS改造】

面向政務(wù)云、國(guó)企數(shù)據(jù)中心等封閉環(huán)境，我們提煉出極速賦能流程：

資產(chǎn)納管：在新網(wǎng)SSL管理中心錄入內(nèi)網(wǎng)IP段（如 10.10.0.0/16）→ 自動(dòng)生成CIDR白名單策略；
批量申領(lǐng)：勾選待加密系統(tǒng)（oa.internal.corp, erp.internal.corp, jump.internal.corp）→ 一鍵生成多域名證書；
終端觸達(dá)：下載.p12 Bundle包 → 通過AD GPO策略推送至全員Windows終端；
效果驗(yàn)證：系統(tǒng)自動(dòng)發(fā)起curl --tlsv1.2 -k https://oa.internal.corp/api/status心跳檢測(cè)，失敗即告警。

全程不改動(dòng)原有架構(gòu)，不影響日常辦公。“None”即這種“零侵入、可審計(jì)、易撤回”的交付特質(zhì)。