局域网 web 服务 HTTPS

24 天前
 bigbugbag

我在家中的某台服务器上启动了一些服务,并使用 traefik 通过 .home 域名进行反向代理,以供家里所有设备进行访问。

现在想为这些服务添加证书,使其能通过 HTTPS 进行访问,目前看到的所有方案都需要客户端手动信任证书,有没有方案可以方便一点,不需要客户端操作?

3770 次点击
所在节点    程序员
40 条回复
ilovey482i
24 天前
内网 DNS 服务器,或 hosts 里写死
cheng6563
24 天前
只能搞个域名了,比如搞个 eu.org
f165af34d4830eeb
24 天前
弄一个 eu org 之类的免费域名当内网域名用吧,解析可以本地 dns 也可以用 cf ,然后 traefik 用 acme 签 letsencrypt 证书
xjyhsaz
24 天前
应该和 OP 需求一样,我是这么用的:申请通配符域名,同 1 楼内网 DNS 服务器将域名解析为内网 ip ,然后域名访问
bigbugbag
24 天前
@ilovey482i
@xjyhsaz

这样是可以,但是浏览器会跳不安全的连接页面,如果不想弹这个页面需要客户端手动信任证书,设备多了比较麻烦。
bigbugbag
24 天前
@cheng6563
@f165af34d4830eeb

想用 .home 或 .local 这种域名,貌似不能走这条路
fengci
24 天前
@bigbugbag #6 能啊咋不能,自己签发证书,你要解决的是 浏览器 设置信任这些证书。就可以了啊


[chrome 信任本地证书]( https://www.google.com/search?q=chrome+%E4%BF%A1%E4%BB%BB%E6%9C%AC%E5%9C%B0%E8%AF%81%E4%B9%A6&sca_esv=3e3d60d2c3960f0c&sca_upv=1&source=hp&ei=virMZtm8Dv3j2roP1pqbiA8&iflsig=AL9hbdgAAAAAZsw4zvjUOHDygKdC89lR3ZQLZoiFefhV&ved=0ahUKEwjZk9W5jZKIAxX9sVYBHVbNBvEQ4dUDCA0&uact=5&oq=chrome+%E4%BF%A1%E4%BB%BB%E6%9C%AC%E5%9C%B0%E8%AF%81%E4%B9%A6&gs_lp=Egdnd3Mtd2l6IhljaHJvbWUg5L-h5Lu75pys5Zyw6K-B5LmmMggQABiABBiiBDIIEAAYgAQYogQyCBAAGIAEGKIEMggQABiABBiiBEj2OFAAWOg3cAl4AJABAJgBxAKgAb81qgEJMC4yMC4xMi4yuAEDyAEA-AEBmAIooAK8MMICCBAAGIAEGLEDwgILEAAYgAQYsQMYgwHCAgUQABiABMICERAuGIAEGLEDGNEDGIMBGMcBwgILEC4YgAQYsQMYgwHCAg4QABiABBixAxiDARiKBcICCxAuGIAEGNEDGMcBwgIOEC4YgAQYsQMYgwEYigXCAgUQLhiABMICBBAAGB7CAgYQABgIGB7CAggQABiiBBiJBcICBRAhGKABmAMAkgcJOS4xNy4xMi4yoAelaw&sclient=gws-wiz)
bigbugbag
24 天前
@fengci 是可以自签证书,但是需要客户端手动信任证书,很麻烦,想问下有没有不需要手动信任证书的方案。
Donahue
24 天前
cloudflare tunnel 应该可以吧
mohumohu
24 天前
@bigbugbag 答:没有。
0o0O0o0O0o
24 天前
https://github.com/FiloSottile/mkcert
coolfan
24 天前
你这个服务在公网怎么访问,没有正经的域名吗。问 letsencrypt 签一个 example.home 的证书给反向代理服务器呢

附一个我自己的方案,不知道是不是最佳实践~
https://coooolfan.com/2024/08/07/Intranet-access-for-intranet-services/
zephyru
24 天前
正好我最近也有类似的问题
感觉就两个好法子
1 、自签证书,手动信任根证书( mkcert )
2 、搞个域名申请一个正经的证书( acme )
然后 DNS 把证书对应的域名解析到内网 ip 上去
bigbugbag
24 天前
@mohumohu 确实,想了下,如果不需要手动信任证书,网络攻击就太容易了
ilovey482i
24 天前
@bigbugbag 那就要用正经的域名,不能用.local 这样的
bigbugbag
24 天前
@coolfan letsencrypt 无法签 .home .local 之类的域名。我还是用自己的域名作为内网域名吧,这样最不折腾。

有空看看大佬的方案。
lcy630409
24 天前
我的方法,在自己的小鸡服务器上用 acme 申请证书,然后把证书通过加密放在 http 服务上,其他需要的服务端自行解密获取
bigbugbag
24 天前
@zephyru 我想了下还是方案 2 最好,最不折腾,方案 1 所有客户端都需要手动信任证书。
fengci
24 天前
@bigbugbag #8 你没看我发的链接? 可以让浏览器信任啊。之后不需要手动 ,但需要每个客户端都配置一遍。
xiaohang427
24 天前
lets encryt 自动续期,证书可信

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1067859

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX