自签名 SSL，浏览器提示不安全

没有办法
内网也可以使用可信任 CA 签发的 ssl 证书呀，ip 证书是不好弄，域名证书，特别是单域名 dv 的证书基本上是免费的，你申请好，内网域名解析到内网 ip 还不是一样用？

最后发现使用 http 成了唯一解...

不管内不内网，都一样搞个域名和受信任的证书就可以，

@Xusually #1 没有域名，只有 ip，难受~

@20ng21 😮‍💨，让客户去申请个域名不行么，内网解析一下，listen 一下，用又没什么影响

直接整个客户端壳子浏览器套网页展示。。。域名地址啥的也不需要看了。。而且还可以美其名曰：为了安全……

内网域名解析到内网 ip 的话岂不是还需要去修改客户那边的网络环境。 现在我们这边只是提供了一台嵌入式设备，客户通过 ip 访问，他那边的网络环境应该没法改。。

@lower #6 666,视角独特

网管改下域名的路由规则就可以映射到指定 ip

哦，对了，一个局域网可能有多台设备，都是通过各自的 ip 地址访问的，所以域名映射应该不行。⊙﹏⊙

如果客户机可以访问外网，直接给域名添加权威解析，地址就填内网 IP

否则，要么安装证书，要么 HTTP

这是一个很（ fei ）有（ chang ）意（ za ）思（ luan ）的问题。。。
1. 有内部 CA 么？如果是内部访问，有内部 CA 的话自己颁发一个就好了；
2. 有集中管理环境么？如果有，推个证书也是可以的；
3. 如果都没有，去申请个域名，申请个证书，这个是最快实现的方法。至于解析，你在 CF 上设置解析到 10.x.x.x 也不是不可以。

@Tumblr #12 什么叫推个证书呀

@20ng21 把需要的证书推倒客户端信任根签发

@PrinceofInj # 14 哦哦 多谢 明白了~

如果真的因此换 http 了还真的是为了表面上安全反而变得不安全。挺讽刺的。

1. 申请一个统一的域名，导向云引导页面，列出所有设备，让用户选择
2. 设备与云通讯，选举一个跑网关，网关与各设备直接用自签证书保证安全
3. 如果设备的局域网 IP 地址是变化的，通过 DDNS
4. 如果设备出现在两个不同的局域网，在步骤 2 的云识别，把第二个局域网的导向第二个域名，同时在第二个局域网内也选举出一个网关

仅提供一个思路，应该还有不完善的地方

@xylophone21

想复杂了，简化一下：
1. 每个设备上线时向云发送指令，让云帮忙分配一个域名，指向设备的内网地址（类似 DDNS ），下线是回收
2. 用户总是打开你云端的页面，列出所有在线的设备，然后用临时域名跳转，访问设备

又想到一个方案：浏览器总是打开云上的一个页面，用类似 https://github.com/szimek/sharedrop 的方法找到局域网上的所有设备，进入设备时仍然访问云端页面，这个页面通过 WebRTC 与设备 P2P 传输数据，再交给前端渲染。

sharedrop 的实现原理要看一下他的代码，关键是怎么猜测两个端在同一个局域网，不过对你的场景来说，假设所有的设备都在一个局域网，问题应该也不大，联不通的显示一下就好了。

申请个域名，指向内网 IP，一分钱也不想出的话也有免费的域名。