这是一个创建于 675 天前的主题,其中的信息可能已经有所发展或是发生改变。
前置原因
- 网络环境:纯局域网,只有一台可以访问互联网的服务器,无法使用梯子,目前拿来当作各种仓库使用,比如 npm 、maven 、npm 、pip
- 需求:想搭建一套局域网的自签名证书体系,或者搭建自动化部署类似 Let's Encrypt 的公有证书
遇到问题
- 之前手动在互联网使用 Let's Encrypt 来生成 3 个月的证书,然后传到内网,手动替换其他服务器的 nginx 等证书,非常低效率,在 DMZ 区服务器使用 acme 生成证书需要域名权,但内网是使用 powerdns 搭建私有域名服务器。还有无法访问墙外服务器,所以不能做到此操作
- 生成自签名 CA 根证书,然后签名泛域名证书,Win 电脑可以手动或域管理信任 CA 根证书,解决 web 端 https 访问问题,但 Java 、Tomcat 、Httpd 、curl 、wget 等应用需要手动导入根证书,比较麻烦
想获取的信息
- 想请教下聚聚们有没有更好的方案,或者我之前方案的有什么可以改良的地方,谢谢
 |
1
retanoj 2023-01-10 19:45:50 +08:00
纯局域网,可以不做 SSL 么?
|
 |
2
lhbc 2023-01-10 19:50:20 +08:00 via Android
用 DNS 认证的方式签发泛域证书,内网自动同步证书即可
|
 |
3
lovelylain 2023-01-10 20:20:14 +08:00 via Android
为什么要手动替换呢,写个脚本自动替换不香吗?
|
 |
4
billzhuang 2023-01-10 20:26:17 +08:00
2 楼 DNS challenge 是正解
|
 |
5
crysislinux 2023-01-10 20:27:00 +08:00
用这个 https://nginxproxymanager.com ,支持通过 dns 认证从 Let's Encrypt 申请证书
|
 |
6
Tyanboot 2023-01-11 03:15:08 +08:00
私有 NS 的话,确实不太能用 DNS 的方式签证书。只能在公网上也有一个能用的 NS 。
搭自签名体系的话,可以用 cfssl 包装一下就可以了。 |
 |
9
baobao1270 2023-01-11 10:51:02 +08:00
想要自签名,且自己搭建一个 ACME Server 试试 step-ca
想要 LE 证书部署到多个机器,dns mode + acme.sh ssh hook |
 |
10
deepzz 2023-01-12 17:26:55 +08:00
可以了解下 ACME DNS CNAME 验证方式,https://letsencrypt.org/2019/10/09/onboarding-your-customers-with-lets-encrypt-and-acme.html
|
Select Language