内网 IP 是否有必要上 HTTPS,如果有必要,应该怎么做

138 天前
 Inzufu
看 pve 默认内网 ip 就加了自签的 https 证书,可以在一定程度上防止数据在中途被劫持。

我目前想了几种方法:
1. 自签 IP 证书:
浏览器弹不信任是小事,就是有时候编程请求 api 的时候直接就因为 https 校验失败就报错了。
2. 使用实际持有的域名
2.1 把域名解析到本地 IP:每个网络的本地网络环境都不一样,把域名解析到一个未知的 IP 地址感觉不太好。
2.2 在本地 DNS 把域名解析到局域网
要求每台机器都修改 hosts 或 DNS 服务器,有些麻烦。

那看来就真的没办法了吗
9964 次点击
所在节点    程序员
68 条回复
kennylam777
137 天前
我的 PVE 及 Opnsense 都有正式的證書,因為我就有一個域名,用 ACME + DNS-01 也算方便。

本來就有一堆東西需要內網解析,倒也不難。
wzw
137 天前
@yinmin #16 移动端和不同网络 测试的时候,怎么办。

另外一样的话,会不会误操作
busier
137 天前
OpenSSL 建立 ca 自发啊
yyysuo
137 天前
没有必要。
kennylam777
137 天前
PVE 自帶 ACME 本來就十分簡單, 自動維護的, 我實在看不到不設定的理由, 而且好處多多, VNC 連線也比較順利。

況且局域網不是用 DHCPC 分發 DNS 的嗎?都這種規模難道沒有本地 DNS? 為甚麼要手動設定 Host?

而且 PVE 主機的 IP 是固定的, 為甚麼會每個局域網也需要設定一次?

不過近期和一些中國開發者合作, 對方連公網都不用 HTTPS, 甚麼 Nacos 等亂七八糟的東西都直接用公網 HTTP 無加密連線, 就只有一個限制 IP 地址的防火牆, 甚麼 MySQL 密碼的都在國際雲上用 HTTP 直接通過 GFW 連回去中國辦公室的固定 IP 就是了, 這個國家的人似乎特別討厭 HTTPS 似的。
ladypxy
137 天前
内网机器直接加入 AD ,然后 AD 签发证书就好
villivateur
137 天前
我都是自己的 CA 签名自己的内网专用域名,内网 DNS 解析,要教程的见:

https://blog.vvzero.com/2023/01/20/self-signed-certificate-with-SAN/
zwlinc
137 天前
证书这个东西和你域名指向的 IP 没啥关系,大可以用 let‘s encryption 签,然后解析到内网即可
NessajCN
137 天前
我一般不会给自己家里卧室厨房厕所都装防盗铁门,
当然我不清楚楼主的习惯所以也只是说一下我自己的做法
superchijinpeng
137 天前
没必要用 ip ,域名解析到内网 ip 就行,caddy 自动 https
knightgao2
137 天前
https 其他不清楚,但是浏览器没 https 很多用不了
qsnow6
137 天前
我没记错的话,对于自回环或者 LAN 是有免签域名的
keyfunc
137 天前
建议上,现代的浏览器对于 http 有各种限制,http 让浏览器保存密码这件事就很麻烦
MFWT
137 天前
我习惯是直接上自签名证书,然后使用的设备信任一下

缺点嘛.....似乎安卓只能导入 SHA-1 的证书,也不确定是不是我哪里没做对
forvvvv123
137 天前
@zwlinc

正解,就用权威证书,内网访问都弄个域名即可
jenson47
137 天前
stepca 自己部署服务,自己签,而且还可以打破公有证书的时间限制呢~
lovelylain
137 天前
1.没必要用 ip 证书,你都内网了,ip 证书肯定得自签名,自签名就得客户端导入根证书,还不如域名更好记
2.更没必要用 ip.yourdomain.com 的证书,统一分配域名,安全性更好
3.反正都要配置,最好的做法就是楼上说的,使用实际持有的域名部署公共证书,然后部署内部 dns ,仅在内网才能解析出域名对应的 ip 地址
cccer
137 天前
自签也比 http 好,新版 chrome 会各种阻止 http 或者自动跳 https ,导致访问异常。
zyq2280539
137 天前
内网同样可以申请公网域名哈,只不过需要公网 VPS 辅助一下,我现在方案:DNS 解析:腾讯云, 公网 VPS:腾讯云,家里小主机:迷你主机,vps 和家里主机上同时安装 nginx,一开始都用 80 端口,vps 主机上 nginx 反向代理家里小主机的 nginx,然后组网工具用 tailscale, vps 上用 certbot 申请 ssl 证书,然后家里小主机上也同样用 certbot 申请证书就可以了,都申请完毕之后 VPS 要反 https://内网域名, vps 要写死 hosts 指向家里小主机,基本没啥问题,家里有 bind9 做了内网 DNS 解析,很完美的实现
lneoi
137 天前
chrome 在非 https 下有不同的安全限制. 如果内网对信息管控有一点要求, 上个 https 也安全一些, 毕竟是内网就不设防也挺危险的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1063038

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX