局域网 web 服务 HTTPS

我在家中的某台服务器上启动了一些服务，并使用 traefik 通过 .home 域名进行反向代理，以供家里所有设备进行访问。

现在想为这些服务添加证书，使其能通过 HTTPS 进行访问，目前看到的所有方案都需要客户端手动信任证书，有没有方案可以方便一点，不需要客户端操作？

bigbugbag

75 天前

@fengci #19 客户端太多了，如果有几百个设备就需要全都设置一遍。而且这仅限于浏览器，其他方式的访问还是会有证书问题。

jadeborner

75 天前

你就用真实的域名，其他的方法都不好，我早就试过了

defaw

75 天前

买个真域名，然后在需要证书的地方都配上 acme.sh ，让证书无感自动刷新，问题不就解决了。

fengci

75 天前

@bigbugbag #21 其他方式，正常有个参数，不验证 SSL 就没事。

ZeroClover

75 天前

不需要客户端信任 CA 的只能你用真实域名通过 DNS-01 签公共可信证书

我是自己签的 CA 然后用 PKI 自动给内网服务签发和续期证书

Apple 设备 MDM 下发 Profile 就好了

troilus

75 天前

最方便：使用 cloudflare tunnel
最适合你：使用 eu.org 等免费域名，使用 caddy 等自动获取证书

mikasyou

75 天前

有了一个域名后，在公开的 DNS 服务上直接映射成本地 lan ip 就可以了，例如 CF 。然后 ACME 脚本自动申请证书，就完事了。

xjyhsaz

75 天前

@bigbugbag #5 可能没说清楚，我是买的 com 域名，自动续签 https 证书，然后作为内网域名使用，和你理解的最佳方案是一致的

PrinceofInj

75 天前

简而言之，没有任何办法。通用域名的不需要信任是因为根证书太过常见，操作系统已经替你安装了。如果把 Windows 自动更新更证书的特性关掉，win10 老版本新装系统大部分网站都是有证书警告的。

atan

75 天前

可以用 nip.io 或者 sslip.io 等服务，比如 https://192-168-0-1.sslip.io ，就能访问到内网的机器，然后申请免费的证书就行

ovoo

75 天前

tailscale 可以为你的内网设备申请证书。

https://tailscale.com/kb/1153/enabling-https

benjaminliangcom

74 天前

用 duckdns 设置 DNS 记录为内网 IP 再配合 traefike 的 acme 即可

ox18

74 天前

没试过内网申请证书的
买了域名域名
内网访问用设备改 HOSTS 或者 DNS 转发或者 NAT 回环

Brodess

74 天前

同 traefik ，cf 有个域名，cert-manager 做证书管理，局域网 NAT 回环可以直接域名 https 域名访问，不过要带端口号，好处是内外网都一样

b0x

74 天前

使用 acme.sh 签发证书,验证方式使用 dns 验证.
即可实现域名解析到局域网 ip,同时能签发证书.

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1067859

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.