内网 IP 是否有必要上 HTTPS，如果有必要，应该怎么做

我的 PVE 及 Opnsense 都有正式的證書，因為我就有一個域名，用 ACME + DNS-01 也算方便。

本來就有一堆東西需要內網解析，倒也不難。

@yinmin #16 移动端和不同网络 测试的时候，怎么办。

另外一样的话，会不会误操作

OpenSSL 建立 ca 自发啊

没有必要。

PVE 自帶 ACME 本來就十分簡單, 自動維護的, 我實在看不到不設定的理由, 而且好處多多, VNC 連線也比較順利。

況且局域網不是用 DHCPC 分發 DNS 的嗎?都這種規模難道沒有本地 DNS? 為甚麼要手動設定 Host?

而且 PVE 主機的 IP 是固定的, 為甚麼會每個局域網也需要設定一次?

不過近期和一些中國開發者合作, 對方連公網都不用 HTTPS, 甚麼 Nacos 等亂七八糟的東西都直接用公網 HTTP 無加密連線, 就只有一個限制 IP 地址的防火牆, 甚麼 MySQL 密碼的都在國際雲上用 HTTP 直接通過 GFW 連回去中國辦公室的固定 IP 就是了, 這個國家的人似乎特別討厭 HTTPS 似的。

内网机器直接加入 AD ，然后 AD 签发证书就好

我都是自己的 CA 签名自己的内网专用域名，内网 DNS 解析，要教程的见：

https://blog.vvzero.com/2023/01/20/self-signed-certificate-with-SAN/

证书这个东西和你域名指向的 IP 没啥关系，大可以用 let‘s encryption 签，然后解析到内网即可

我一般不会给自己家里卧室厨房厕所都装防盗铁门，
当然我不清楚楼主的习惯所以也只是说一下我自己的做法

没必要用 ip ，域名解析到内网 ip 就行，caddy 自动 https

https 其他不清楚，但是浏览器没 https 很多用不了

我没记错的话，对于自回环或者 LAN 是有免签域名的

建议上，现代的浏览器对于 http 有各种限制，http 让浏览器保存密码这件事就很麻烦

我习惯是直接上自签名证书，然后使用的设备信任一下

缺点嘛.....似乎安卓只能导入 SHA-1 的证书，也不确定是不是我哪里没做对

@zwlinc

正解，就用权威证书，内网访问都弄个域名即可

stepca 自己部署服务，自己签，而且还可以打破公有证书的时间限制呢~

1.没必要用 ip 证书，你都内网了，ip 证书肯定得自签名，自签名就得客户端导入根证书，还不如域名更好记
2.更没必要用 ip.yourdomain.com 的证书，统一分配域名，安全性更好
3.反正都要配置，最好的做法就是楼上说的，使用实际持有的域名部署公共证书，然后部署内部 dns ，仅在内网才能解析出域名对应的 ip 地址

自签也比 http 好，新版 chrome 会各种阻止 http 或者自动跳 https ，导致访问异常。

内网同样可以申请公网域名哈，只不过需要公网 VPS 辅助一下，我现在方案：DNS 解析：腾讯云， 公网 VPS：腾讯云，家里小主机：迷你主机，vps 和家里主机上同时安装 nginx,一开始都用 80 端口，vps 主机上 nginx 反向代理家里小主机的 nginx,然后组网工具用 tailscale, vps 上用 certbot 申请 ssl 证书，然后家里小主机上也同样用 certbot 申请证书就可以了，都申请完毕之后 VPS 要反 https://内网域名, vps 要写死 hosts 指向家里小主机，基本没啥问题，家里有 bind9 做了内网 DNS 解析，很完美的实现

chrome 在非 https 下有不同的安全限制. 如果内网对信息管控有一点要求, 上个 https 也安全一些, 毕竟是内网就不设防也挺危险的