为公网 IP 地址申请 SSL 证书的流程与传统的域名证书有所不同，因为并非所有证书颁发机构（CA）都支持此服务。以下是申请 IP SSL 证书的完整指南：

一、 申请前的关键准备
确认 IP 地址属性：必须是允许互联网访问的公网 IP 地址（目前大多仅支持 IPv4），且您必须对该 IP 拥有合法的管理权限。局域网 IP 无法申请受信任的 CA 证书。
开放验证端口：在申请和验证过程中，需要临时开放 80 或 443 端口（两者选其一），以便 CA 机构进行所有权验证。
准备企业资料：如果您申请的是 OV（组织验证）级别的证书，需要提前准备好企业营业执照、联系人信息以及 IP 地址的所有权证明（如 ISP 分配记录）。

二、 选择合适的证书类型与 CA 机构
证书类型选择：
DV（域名/基础验证）证书：仅验证 IP 地址的所有权，验证过程简单快速，适合开发测试环境。
OV（组织验证）证书：除了验证 IP 所有权，还需验证企业真实身份，安全性更高，适合企业生产环境。
注意：扩展验证型（EV）证书通常不支持通过 IP 地址进行申请。
选择支持 IP 证书的 CA 机构：
商业付费 CA：如 DigiCert、GlobalSign、Sectigo 等，适合大型企业，提供 OV/EV 验证及 API 自动化管理，价格相对较高（几百至上千美元/年不等）。
提供免费/试用服务的 CA：如 JoySSL、锐安信 sslTrus、CFCA 等，提供免费试用或 DV 级别的 IP 证书，适合个人开发者或小微企业。
注意：Let's Encrypt 等免费 CA 对 IP 证书支持有限（如仅支持有效期极短的测试证书），不建议用于生产环境。

三、 标准申请流程
注册账号并提交申请：访问所选 CA 机构的官网，注册账号。在申请页面选择“IP 地址证书”，填写公网 IP 地址及用途。若申请 OV 证书，需同步提交企业证明材料。
生成 CSR 文件：在服务器端生成证书签名请求（CSR）文件。在生成时，Common Name（通用名称）字段必须填写您的公网 IP 地址。
完成所有权验证：CA 机构会验证您对该 IP 的控制权。常见的验证方式包括：
文件验证：在 IP 对应的服务器根目录下放置 CA 指定的验证文件。
DNS 记录验证：在 IP 所属网络的 DNS 中添加指定的 TXT 记录。
HTTP 端口验证：在指定端口响应特定的验证请求。
审核与签发：DV 证书通常在几分钟到几小时内签发；OV 证书由于需要人工核实企业信息，通常需要 1-3 个工作日。
下载与部署：审核通过后，从 CA 后台下载证书文件（包含证书本体、私钥及中间链证书），并按照 Nginx/Apache/IIS 等 Web 服务器的规范进行 HTTPS 配置。

四、 重要注意事项
不支持通配符：IP 证书不支持通配符（如 192.168.），每个 IP 地址都需要单独申请一张证书。
证书有效期：商业 IP 证书有效期通常为 1 年，到期前需及时续订，以免服务中断。
IP 变更风险：如果服务器的公网 IP 发生变更，原证书将失效，必须重新申请新 IP 的证书。