这是一个创建于 426 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在家中的某台服务器上启动了一些服务,并使用 traefik 通过 .home 域名进行反向代理,以供家里所有设备进行访问。
现在想为这些服务添加证书,使其能通过 HTTPS 进行访问,目前看到的所有方案都需要客户端手动信任证书,有没有方案可以方便一点,不需要客户端操作?
第 1 条附言 · 2024-08-26 15:18:43 +08:00
家庭网络中已经有一个 DNS 服务器,并且 hosts 文件中有设置 .home 域名的 IP 为服务器 IP ,现在通过 HTTP 已经可以正常访问所有被 traefik 代理的服务。
目前的需求是将 HTTP 变为 HTTPS ,并且浏览器不提示不安全的连接。这一步骤我了解到需要在 traefik 中指定一个证书,但是由于域名是 .home ,貌似只能自签证书,这样一来所有客户端就需要手动信任这一自签证书了,非常麻烦。
不是很懂网络,想了解一下该场景下的最佳实践是什么。
目前的需求是将 HTTP 变为 HTTPS ,并且浏览器不提示不安全的连接。这一步骤我了解到需要在 traefik 中指定一个证书,但是由于域名是 .home ,貌似只能自签证书,这样一来所有客户端就需要手动信任这一自签证书了,非常麻烦。
不是很懂网络,想了解一下该场景下的最佳实践是什么。
第 2 条附言 · 2024-08-26 15:34:49 +08:00
感谢大家的回复,我仔细想了下,如果设备不需要手动信任证书,只需要加入网络就没有安全提醒的话,这种设计下的网络就太不安全了,他人提供的网络就太不容易被信任了。
最佳方案还是用自己购买的域名作为内网域名吧,这样就可以使用正规机构签发的证书,客户端也不需要手动信任证书了。
如有理解不对的地方,还望指出。
最佳方案还是用自己购买的域名作为内网域名吧,这样就可以使用正规机构签发的证书,客户端也不需要手动信任证书了。
如有理解不对的地方,还望指出。
 |
1
ilovey482i 2024-08-26 14:44:29 +08:00  1
内网 DNS 服务器,或 hosts 里写死
|
 |
3
f165af34d4830eeb 2024-08-26 14:47:25 +08:00 via iPhone
弄一个 eu org 之类的免费域名当内网域名用吧,解析可以本地 dns 也可以用 cf ,然后 traefik 用 acme 签 letsencrypt 证书
|
 |
4
xjyhsaz 2024-08-26 14:48:54 +08:00
应该和 OP 需求一样,我是这么用的:申请通配符域名,同 1 楼内网 DNS 服务器将域名解析为内网 ip ,然后域名访问
|
 |
5
bigbugbag OP |
|
6
bigbugbag OP |
 |
9
Donahue 2024-08-26 15:22:18 +08:00
cloudflare tunnel 应该可以吧
|
 |
11
0o0O0o0O0o 2024-08-26 15:23:49 +08:00
|
 |
12
coolfan 2024-08-26 15:26:32 +08:00
你这个服务在公网怎么访问,没有正经的域名吗。问 letsencrypt 签一个 example.home 的证书给反向代理服务器呢
附一个我自己的方案,不知道是不是最佳实践~ https://coooolfan.com/2024/08/07/Intranet-access-for-intranet-services/ |
 |
13
zephyru 2024-08-26 15:26:56 +08:00
正好我最近也有类似的问题
感觉就两个好法子 1 、自签证书,手动信任根证书( mkcert ) 2 、搞个域名申请一个正经的证书( acme ) 然后 DNS 把证书对应的域名解析到内网 ip 上去 |
|
15
ilovey482i 2024-08-26 15:35:55 +08:00
@bigbugbag 那就要用正经的域名,不能用.local 这样的
|
|
16
bigbugbag OP |
 |
17
lcy630409 2024-08-26 15:36:44 +08:00
我的方法,在自己的小鸡服务器上用 acme 申请证书,然后把证书通过加密放在 http 服务上,其他需要的服务端自行解密获取
|
 |
20
xiaohang427 2024-08-26 15:39:31 +08:00
lets encryt 自动续期,证书可信
|
|
21
bigbugbag OP @fengci #19 客户端太多了,如果有几百个设备就需要全都设置一遍。而且这仅限于浏览器,其他方式的访问还是会有证书问题。
|
 |
22
jadeborner 2024-08-26 15:44:19 +08:00 1
你就用真实的域名,其他的方法都不好,我早就试过了
|
 |
25
ZeroClover 2024-08-26 16:01:19 +08:00
不需要客户端信任 CA 的只能你用真实域名通过 DNS-01 签公共可信证书
我是自己签的 CA 然后用 PKI 自动给内网服务签发和续期证书  Apple 设备 MDM 下发 Profile 就好了   |
 |
26
troilus 2024-08-26 16:24:43 +08:00 1
最方便:使用 cloudflare tunnel
最适合你:使用 eu.org 等免费域名,使用 caddy 等自动获取证书 |
 |
27
mikasyou 2024-08-26 16:28:43 +08:00 1
有了一个域名后,在公开的 DNS 服务上直接映射成本地 lan ip 就可以了,例如 CF 。然后 ACME 脚本自动申请证书,就完事了。
|
|
28
xjyhsaz 2024-08-26 17:00:05 +08:00
@bigbugbag #5 可能没说清楚,我是买的 com 域名,自动续签 https 证书,然后作为内网域名使用,和你理解的最佳方案是一致的
|
 |
29
Ipsum 2024-08-26 18:09:52 +08:00
加个 candy 做反代,自动申请证书。
|
 |
30
PrinceofInj 2024-08-26 19:22:04 +08:00
简而言之,没有任何办法。通用域名的不需要信任是因为根证书太过常见,操作系统已经替你安装了。如果把 Windows 自动更新更证书的特性关掉,win10 老版本新装系统大部分网站都是有证书警告的。
|
 |
31
atan 2024-08-26 19:36:04 +08:00
|
 |
32
sky96111 2024-08-26 20:01:25 +08:00
像这样?
 |
 |
33
ovoo 2024-08-26 22:53:32 +08:00 via Android
|
 |
34
herbertzz 2024-08-27 07:33:11 +08:00
内网域名为啥要用 https 呢
|
 |
35
benjaminliangcom 2024-08-27 08:06:59 +08:00
用 duckdns 设置 DNS 记录为内网 IP 再配合 traefike 的 acme 即可
|
 |
37
daisyfloor 2024-08-27 10:35:49 +08:00
@Ipsum 对的,并且使用通配符域名
|
 |
38
ox18 2024-08-27 11:26:33 +08:00
没试过内网申请证书的
买了域名域名 内网访问用 设备改 HOSTS 或者 DNS 转发 或者 NAT 回环 |
 |
39
Brodess 2024-08-27 13:15:31 +08:00
同 traefik ,cf 有个域名,cert-manager 做证书管理,局域网 NAT 回环可以直接域名 https 域名访问,不过要带端口号,好处是内外网都一样
|
Select Language