局域网内搭建一个服务器,可以使用 https 吗

https://www.v2ex.com/t/472394

 

这是一个创建于 126 天前的主题,其中的信息可能已经有所发展或是发生改变。

局域网内通过嵌入式设备搭建一个轻量级 web 服务,可以仍然使用 https 吗,有点困惑,证书什么的怎么办

 
37 回复  |  直到 2018-10-11 19:21:11 +08:00
 
     1
 
paparika   126 天前
 
这里的局域网就特指普通家庭局域网
 
     2
 
flowfire   126 天前 via iPhone
 
自己签发一个,然后手动信任
 
     3
 
littleylv   126 天前
 
1、这种情况有必要用 https 么?
2、用自己生成的证书,但是首次浏览器会警告,给他允许了就好了,左上角的小锁会是红色
 
     4
 
i730   126 天前
 
局域网内 https 浪费性能啊,做好 wifi 防护就好,反倒别让人连上你 wifi 了
 
     5
 
terrytw   126 天前
 
第一种,自签名证书,导入你需要访问的客户端
第二种,你去 LETS ENCRYPT 去注册一个证书,前提你有域名,80 端口如果不能访问可以用 DNS 方式
 
     6
 
paparika   126 天前
 
@ flowfire 
@ littleylv 
@ i730 情景有点复杂,局域网里另一个设备需要访问这个服务端(不是通过浏览器,是通过设备里的程序),如果是自签发的证书,必须要让这个设备事先授信这个证书是吧
 
     7
 
paparika   126 天前
 
@ terrytw 如果是第二种的话,局域网内怎么挂域名
 
     8
 
paparika   126 天前
 
@ terrytw 就是普通家庭那种局域网
 
     9
 
paparika   126 天前
 
@ terrytw 是不是我要弄个广域网的域名,然后私下在局域网里 dns 把域名解析为局域网地址
 
     10
 
i730   126 天前
 
@ paparika #6 这个有公网域名最方便,否则自建 CA 在设备里导入,就是导入到系统,系统的证书链
 
     11
 
paparika   126 天前
 
@ i730 
@ terrytw 如果是自签名,能导入证书。那么还是存在要解析域名的问题吧,这个怎么搞定
 
     12
 
waacoo   126 天前 via iPhone
 
可以,mkcert
 
     13
 
i730   126 天前
 
@ paparika #11 hosts 文件了解一下
 
     14
 
imdong   126 天前
 
自签证书是可以的,也可以暴露 80 端口到外网(或拥有一台外网服务器)
然后获取到证书以后,拿到内网使用。
至于怎么获取证书,letsencrypt 阿里云 腾讯云 等很多第三方都可以签到证书的。
如何获取到证书是一个问题,证书在内网用没问题。
 
     15
 
waacoo   126 天前 via iPhone
 
 
     16
 
paparika   126 天前
 
@ i730 对于我来说,服务端和设备是可控的,局域网是不可控的,那么我就不能用静态 ip,这样 hosts 也没用吧
 
     17
 
paparika   126 天前
 
@ imdong 抱歉没懂,我是局域网内设备访问局域网服务器,暴露 80 干嘛
 
     18
 
i730   126 天前
 
@ paparika #16 你都不知道服务器 IP 怎么访问?搞个自动化程序,获取服务器 IP 写 hosts
 
     19
 
whitegerry   126 天前
 
@ paparika 

局域网绑个域名,然后 mkcert 自建根证书
https://github.com/FiloSottile/mkcert
 
     20
 
paparika   126 天前
 
@ i730 哈哈,情景确实比较复杂,算是开个脑洞而已。这块比较小白,见谅
 
     21
 
whitegerry   126 天前
 
或者 Openssl 自签证书
 
     22
 
paparika   126 天前
 
@ whitegerry 那局域网内怎么把域名转化为 ip 呢
 
     23
 
imdong   126 天前
 
问题分两种:
域名是真实的,楼主对域名拥有真实控制权:百度 letsencrypt DNS 验证
域名是伪造的,自签名 CA 生成证书,要求访问者导入 CA 证书到受信任的根证书机构。参考 12306
 
     24
 
paparika   126 天前
 
@ imdong 感谢,再问一步,不管真实伪造,局域网内设备访问域名,有没有办法把域名指向局域网服务端的 ip (局域网是不受控的,干涉不了路由等设备)
 
     25
 
whitegerry   126 天前
 
服务端 ip 不可控?那跟能不能用 https 没什么关系吧
 
     26
 
mikeguan   126 天前 via Android
 
@ paparika 可以在域名注册商那里将域名解析到内网的 和解析到公网 ip 地址一样的操作 并且可以设置 txt 记录进行域名签发证书
 
     27
 
whitegerry   126 天前
 
服务端和客户端可控且能连外网的话,虚拟局域网 n2n/tinc/zerotier,n2n 和 zero 自己不用准备公网服务器,或者 frp。
 
     28
 
davidyin   126 天前
 
花点钱,买个域名指向局域网 ip,再买个证书,就可以了。
 
     29
 
noe132   125 天前
 
据我记忆好像是域名可以设置 A 记录到内网 ip,也就是可以指向 192.168.1.1 这种地址
 
     30
 
liwufan   125 天前
 
我也很好奇这问题。虽然两台机子间倒腾 https 听起来有点鸡肋,但是大一点的内网是不是会开始自建 ca 服务器了啊?
 
     31
 
n2ex2   125 天前 via Android
 
域名可以设置内网 ip,另一种方法就是 hosts。
 
     32
 
uncat   125 天前 via Android
 
当然可以。准备一个域名解析到你的服务器内网 ip.然后按照 Letsencrypt 教程操作就可以了。
 
     33
 
just1   125 天前
 
域名直接 A 记录内网 ip
 
     34
 
flynaj   125 天前 via Android
 
letsencrypt DNS 验证 就可以证书了,或者静态 DNS 纪录也可以。
 
     35
 
akira   125 天前
 
@ paparika 内网搭建一个域名解析,或者配置 host 都可以。 内网用域名也是很常见的
 
     36
 
imdong   125 天前
 
如果域名是真实的,而且内网的服务器 IP 是固定且对所有人都可见。
是可以直接解析的。
DSN 解析支持内网,但是用户端要能连接外网。

你把  a.baidu.com 指向 127.0.0.1 所有访问这个地址的人都会打开本地.
如果内网地址是 192.168.1.253 那么吧  s.baidu.com 指向 这个 IP 即可.
 
     37
 
iceheart   41 天前 via Android
 
1.域名和证书:几块钱买一个域名,freessl 上免费申请证书。
2.内网解析:搭个 dnsmasq,配置文件添加解析;内网的 dhcp 下发的 dns 指向你配的 dnsmasq

转载于:https://www.cnblogs.com/xiaohanlin/p/10003174.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值