未分類
23 11 月 2020

局域网内的网站,如何加上证书?想使用 https://192.168.*.*这样的格式访问,为了用 http2

局域网内的网站,如何加上证书?想使用 https://192.168.*.*这样的格式访问,为了用 http2

資深大佬 : darknoll 6

主要是同时请求的资源太多,http1.1 加载嫌慢

大佬有話說 (30)

  • 資深大佬 : skai0dev

    生成证书的时候在 DNS 里加上你的 IP

  • 資深大佬 : 37Y37

    咋不用域名呢?我们有个代理,统一走走代理,很方便
    https://blog.ops-coffee.cn/s/FV379mGIboVYky73kcoMMQ

  • 資深大佬 : LGA1150

    随便一个自签证书不就行了

  • 資深大佬 : qwerthhusn

    1. 自签名证书,不过客户端不信任,如果只是浏览器访问,可以直接忽略证书。如果是程序或者其他东西,可能麻烦些
    2. 申请一些二级甚至三级域名的证书,然后需要自建一个 DNS,把域名映射到指定的内网 IP,然后让用户通过域名访问

    HTTP2 一般是和 SSL 绑定到一块的,没法直接 HTTP 协议访问 HTTP2

  • 資深大佬 : jfcherng

    Windows 的話可以無腦 https://github.com/FiloSottile/mkcert

  • 資深大佬 : HelloWorld556

    https://segmentfault.com/a/1190000037607161

  • 資深大佬 : jfcherng

    唉不對 發現是三個平台都有…

  • 資深大佬 : learningman

    h2c,了解一下

  • 資深大佬 : testcaoy7

    自签证书。然后把 CA 证书下发到客户端装上。

  • 資深大佬 : lshero

    有的公司内部系统都是统一用域名做反向代理,然后顺带每个 html 页面都插入水印防止截屏

  • 資深大佬 : msg7086

    局域网内加 IP 证书不可信。你要么配置域名然后用 DNS 认证来签发内网证书,要么自签然后把 CA 部署到客户端电脑上。一般这个域里就能搞。

  • 資深大佬 : ryanlid

    局域网速度慢,不是 http 的问题,找找其他原因吧

  • 資深大佬 : darknoll

    @ryanlid 主要是前端写得差,同时请求的资源数太多,比如一次性发十几个请求获取配置文件啥的

  • 資深大佬 : kingfalse

    自签,浏览器装证书

  • 資深大佬 : youla

    hosts 搞个域名指向 IP 再自签证书吧,我记得 IP 貌似不能 https 的,以前尝试过没成功。

  • 資深大佬 : GTim

    如果用域名,更简单的是直接解析内网,然后用一个垃圾子域名去获取 let’s 证书

  • 資深大佬 : execute

    @youla IP 是可以签发证书的,例如: https://1.1.1.1/

  • 資深大佬 : ipixeloldc

    @youla 公网的 IP 能签,很多 CA 都有卖的…内网的就麻烦了

  • 資深大佬 : Showfom

    @execute 内网 IP 不可以签发商业证书

  • 資深大佬 : longaiwp

    先自签证书看看到底有没有用,能提升多少,再来解决这个问题。

  • 資深大佬 : jim9606

    证书的话建议用私有 CA,mkcert/openssl/xca 都可以,建议用 ECDSA 的证书。
    不建议用裸 IP 证书,就算是只在内网用也建议用公开的域名,方便日后迁移。

  • 資深大佬 : ryanlid

    http://http.oonnnoo.com/

    试验了一下,http1.1 的 http 请求 与 http2 的 https 分别 361 个请求,最后加载速度基本是差不多的

  • 資深大佬 : KuroNekoFan

    windows 的话加了域可以推送策略的话应该好搞吧

  • 資深大佬 : imdong

    注册域名,为域名申请数字证书。

    如果能连接外网,域名直接解析到对应的内网 IP 上。

    如果不能连接外网,改 hosts 可行,或者 mDNS 之类的广播,或者自建内网 DNS 。

    或者就上说的 私有 CA 了,客户端需要信任才行。

  • 資深大佬 : Tonni

    mkcert

  • 資深大佬 : baobao1270

    方案 1:拿个域名,用 DNS 方式申请证书,把域名解析到内网 IP
    方案 2:同方案 1,但是在内网建立 DNS 服务器,比如 192.168.1.1.lan 解析到 192.168.1.1
    方案 3:自签名证书,在 SAN (备用可选名称)上加上 IP=192.168.X.X (不允许通配符),现在的 Chrome 不允许用 DNS Name 或者 CN 替代 IP SAN 。详情请谷歌 /百度。
    方案 4:自签名证书,CN 填*,除了一些老的浏览器,都不支持

  • 資深大佬 : eudore

    只能自签或双向 tls,内网用 http/1.0 就可以了。
    说 h2c 的怕是连 h2 握手流程都不清楚,h2 握手依赖于 ssl 层。

  • 資深大佬 : a1274598858

    自签证书,操作系统信任这个根证书…
    我这个地址就是自签三级证书。https://testssl.jiedanba.cn/#/pages/login/login

  • 資深大佬 : polymerdg

    域名+DNS 服務器吧

  • 資深大佬 : sobigfish

    用三级域名表示每一个内网机器 比如 192.168.1.1 的域名
    16 进制为 0xC0A80101.example.com 或者整数的 3232235777 这样子一个通配符证书就够了
    但貌似解决不了子网设备改 IP 冒充其他 IP 的问题