局域网 web 服务 HTTPS

2024-08-26 14:41:21 +08:00
 bigbugbag

我在家中的某台服务器上启动了一些服务,并使用 traefik 通过 .home 域名进行反向代理,以供家里所有设备进行访问。

现在想为这些服务添加证书,使其能通过 HTTPS 进行访问,目前看到的所有方案都需要客户端手动信任证书,有没有方案可以方便一点,不需要客户端操作?

4748 次点击
所在节点    程序员
41 条回复
ilovey482i
2024-08-26 14:44:29 +08:00
内网 DNS 服务器,或 hosts 里写死
cheng6563
2024-08-26 14:46:51 +08:00
只能搞个域名了,比如搞个 eu.org
f165af34d4830eeb
2024-08-26 14:47:25 +08:00
弄一个 eu org 之类的免费域名当内网域名用吧,解析可以本地 dns 也可以用 cf ,然后 traefik 用 acme 签 letsencrypt 证书
xjyhsaz
2024-08-26 14:48:54 +08:00
应该和 OP 需求一样,我是这么用的:申请通配符域名,同 1 楼内网 DNS 服务器将域名解析为内网 ip ,然后域名访问
bigbugbag
2024-08-26 15:08:21 +08:00
@ilovey482i
@xjyhsaz

这样是可以,但是浏览器会跳不安全的连接页面,如果不想弹这个页面需要客户端手动信任证书,设备多了比较麻烦。
bigbugbag
2024-08-26 15:09:36 +08:00
@cheng6563
@f165af34d4830eeb

想用 .home 或 .local 这种域名,貌似不能走这条路
fengci
2024-08-26 15:13:31 +08:00
@bigbugbag #6 能啊咋不能,自己签发证书,你要解决的是 浏览器 设置信任这些证书。就可以了啊


[chrome 信任本地证书]( https://www.google.com/search?q=chrome+%E4%BF%A1%E4%BB%BB%E6%9C%AC%E5%9C%B0%E8%AF%81%E4%B9%A6&sca_esv=3e3d60d2c3960f0c&sca_upv=1&source=hp&ei=virMZtm8Dv3j2roP1pqbiA8&iflsig=AL9hbdgAAAAAZsw4zvjUOHDygKdC89lR3ZQLZoiFefhV&ved=0ahUKEwjZk9W5jZKIAxX9sVYBHVbNBvEQ4dUDCA0&uact=5&oq=chrome+%E4%BF%A1%E4%BB%BB%E6%9C%AC%E5%9C%B0%E8%AF%81%E4%B9%A6&gs_lp=Egdnd3Mtd2l6IhljaHJvbWUg5L-h5Lu75pys5Zyw6K-B5LmmMggQABiABBiiBDIIEAAYgAQYogQyCBAAGIAEGKIEMggQABiABBiiBEj2OFAAWOg3cAl4AJABAJgBxAKgAb81qgEJMC4yMC4xMi4yuAEDyAEA-AEBmAIooAK8MMICCBAAGIAEGLEDwgILEAAYgAQYsQMYgwHCAgUQABiABMICERAuGIAEGLEDGNEDGIMBGMcBwgILEC4YgAQYsQMYgwHCAg4QABiABBixAxiDARiKBcICCxAuGIAEGNEDGMcBwgIOEC4YgAQYsQMYgwEYigXCAgUQLhiABMICBBAAGB7CAgYQABgIGB7CAggQABiiBBiJBcICBRAhGKABmAMAkgcJOS4xNy4xMi4yoAelaw&sclient=gws-wiz)
bigbugbag
2024-08-26 15:21:25 +08:00
@fengci 是可以自签证书,但是需要客户端手动信任证书,很麻烦,想问下有没有不需要手动信任证书的方案。
Donahue
2024-08-26 15:22:18 +08:00
cloudflare tunnel 应该可以吧
mohumohu
2024-08-26 15:22:37 +08:00
@bigbugbag 答:没有。
0o0O0o0O0o
2024-08-26 15:23:49 +08:00
https://github.com/FiloSottile/mkcert
coolfan
2024-08-26 15:26:32 +08:00
你这个服务在公网怎么访问,没有正经的域名吗。问 letsencrypt 签一个 example.home 的证书给反向代理服务器呢

附一个我自己的方案,不知道是不是最佳实践~
https://coooolfan.com/2024/08/07/Intranet-access-for-intranet-services/
zephyru
2024-08-26 15:26:56 +08:00
正好我最近也有类似的问题
感觉就两个好法子
1 、自签证书,手动信任根证书( mkcert )
2 、搞个域名申请一个正经的证书( acme )
然后 DNS 把证书对应的域名解析到内网 ip 上去
bigbugbag
2024-08-26 15:31:27 +08:00
@mohumohu 确实,想了下,如果不需要手动信任证书,网络攻击就太容易了
ilovey482i
2024-08-26 15:35:55 +08:00
@bigbugbag 那就要用正经的域名,不能用.local 这样的
bigbugbag
2024-08-26 15:36:43 +08:00
@coolfan letsencrypt 无法签 .home .local 之类的域名。我还是用自己的域名作为内网域名吧,这样最不折腾。

有空看看大佬的方案。
lcy630409
2024-08-26 15:36:44 +08:00
我的方法,在自己的小鸡服务器上用 acme 申请证书,然后把证书通过加密放在 http 服务上,其他需要的服务端自行解密获取
bigbugbag
2024-08-26 15:37:24 +08:00
@zephyru 我想了下还是方案 2 最好,最不折腾,方案 1 所有客户端都需要手动信任证书。
fengci
2024-08-26 15:39:18 +08:00
@bigbugbag #8 你没看我发的链接? 可以让浏览器信任啊。之后不需要手动 ,但需要每个客户端都配置一遍。
xiaohang427
2024-08-26 15:39:31 +08:00
lets encryt 自动续期,证书可信

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1067859

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX