内网 IP 是否有必要上 HTTPS，如果有必要，应该怎么做

看 pve 默认内网 ip 就加了自签的 https 证书，可以在一定程度上防止数据在中途被劫持。

我目前想了几种方法：
1. 自签 IP 证书：
浏览器弹不信任是小事，就是有时候编程请求 api 的时候直接就因为 https 校验失败就报错了。
2. 使用实际持有的域名
2.1 把域名解析到本地 IP：每个网络的本地网络环境都不一样，把域名解析到一个未知的 IP 地址感觉不太好。
2.2 在本地 DNS 把域名解析到局域网
要求每台机器都修改 hosts 或 DNS 服务器，有些麻烦。

那看来就真的没办法了吗

hxtheone

164 天前

自有域名, 内网用 openwrt 接管 dns 解析到内网, caddy 加一层反代上 https 然后自动续签, 无脑得很, 而且可以做到内外网用同样的域名访问无缝切换

libook

164 天前

有的服务要求必须 HTTPS ，以及一些浏览器 API 不走 HTTPS 不能用。

可以走 DNS Challenge ，可以参考这个 https://letsencrypt.org/docs/challenge-types/#dns-01-challenge

hzwzo1

164 天前

内网 dns 服务器配置域名解析到本地 ip 就可以了，外网解析到暴露的公网 ip ，这样内外网体验一样

laminux29

164 天前

1.HTTPs 是用来保障安全的，当然要加，而且现在已经是标准了。

2.内网自用的场景，直接自签就行了。自建一个 CA ，然后用 CA 给服务或服务器自签证书。每台新设备入网时，把 CA 的证书导入到 CA 区域就行。

Inzufu

163 天前

感谢各位的建议，最后的方案是把自己域名的 *.internal.example.com 在内网 dns 服务器中解析到了本地 ip 地址。
证书用了 let's encrypt 签发。
要让浏览器信任证书，看来没有更简单的办法啦。

murchef

163 天前

内网有个 bitwarden 自建，我就 docker 起 NPM ，用 DNS 认证一个 Let's Encrypt 证书（自己要有域名），然后 NPM 做个反代指向 bitwarden ，最后路由器（ ADG HOME ）把域名指向 NPM 就好了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1063038

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.