Chiphell - 分享与交流用户体验

标题: 你们内网用的ssl证书是如何同步到多个设备的？ [打印本页]

作者: aikgogo 时间: 2024-1-7 13:05
标题: 你们内网用的ssl证书是如何同步到多个设备的？
阿里云的一年ssl证书没有了，只有三个月的了，昨天就在家里试了一下，内网用dns可以生成三个月的免费证书，acme生成的letsencrypt。

问题是，我是在debian服务器上生成的，还有一个openwrt和黑群晖，三个都是不同的设备，三个月续一次，其它设备老是手动更新？

你们内网是如何解决ddns的ssl证书同步问题的？

作者: 高子 时间: 2024-1-7 13:09
openwrt也有外网连接需求么，我只在zerotier组的局域网内访问op，黑裙的话，个人理解再配置一个acme

作者: Garming 时间: 2024-1-7 14:41
内网访问还需要证书吗
内网我都是固定ip直接访问

作者: tankren 时间: 2024-1-7 14:42
traefik啊

作者: tenl 时间: 2024-1-7 14:52
我是安装了一个docker，Nginx Proxy Manager，证书自动更新，也不用记内网服务的各种端口号了，访问jellyfin.xxx.xxx就是电影，访问qb.xxx.xxx就是pt下载，file.xxx.xxx就是文件管理等等。

作者: devilwalk 时间: 2024-1-7 15:08
每台都自动更新呀，何必同步。

作者: 荡漾的潇洒 时间: 2024-1-7 15:29
内网? 直接反代啊,防火墙开起来只允许单独ip访问啊
还同步干嘛

作者: 一起远行 时间: 2024-1-7 16:06

tenl 发表于 2024-1-7 14:52
我是安装了一个docker，Nginx Proxy Manager，证书自动更新，也不用记内网服务的各种端口号了，访问jellyfi ...

层主，“Nginx Proxy Manager”这个docker的关键词是啥，请分享一下呗，直接搜这个没搜到

作者: tenl 时间: 2024-1-7 16:17

一起远行发表于 2024-1-7 16:06
层主，“Nginx Proxy Manager”这个docker的关键词是啥，请分享一下呗，直接搜这个没搜到
...

https://vt.wooomooo.com/?p=67689 这里有详细的教程，熟悉docker的话，应该很容易安装的。

作者: lifanxi 时间: 2024-1-7 17:37
crontab里写个脚本从服务器上把证书拷过来，然后跟本地的比较，如果一致就啥也不干，如果不一致就替换本地的并重启相关服务。

作者: 一起远行 时间: 2024-1-8 09:14

tenl 发表于 2024-1-7 16:17
https://vt.wooomooo.com/?p=67689 这里有详细的教程，熟悉docker的话，应该很容易安装的。 ...

十分谢谢，直接上教程了

作者: MoonDigi 时间: 2024-1-8 09:23
内网自己使用其实也没啥必要用证书
如果外网有使用，客户是自己也不需要用认证ca的证书，我都是自己签一个五年的，信任自己的ca就行

作者: highchh 时间: 2024-1-8 09:28
用反代的软件，只更新反对软件的证书，其他的web就不用更新了。

作者: lovezhiqi 时间: 2024-1-8 09:29
这个简单，群晖全自动脚本生成替换，然后利用群晖的反代功能，反代内网的其他web服务即可，其他设备都不需要部署了

作者: phliar 时间: 2024-1-8 09:45
内网直接反向代理，腾讯云证书还是一年的

作者: starxin79 时间: 2024-1-8 11:32

tenl 发表于 2024-1-7 14:52
我是安装了一个docker，Nginx Proxy Manager，证书自动更新，也不用记内网服务的各种端口号了，访问jellyfi ...

有公网 IP ，要加端口访问的吧，默认端口运营商不开通的吧

作者: zvcs 时间: 2024-1-8 12:39
每个设备都装acme，mac nas 路由器，除了cockpit系统没有其它都有了

作者: tenl 时间: 2024-1-8 18:42

starxin79 发表于 2024-1-8 11:32
有公网 IP ，要加端口访问的吧，默认端口运营商不开通的吧

是的，要端口，但也只是记一个端口就好，不然还要记不同服务的端口，时间长了经常忘记

作者: yyu0378 时间: 2024-1-9 10:43
我的方法是使用acme签泛证书，网内使用nginx代理证书，证书就部署到nginx上，不同服务用不同的二级域名最多区分

作者: maclover 时间: 2024-1-9 10:45
提示: 作者被禁止或删除内容自动屏蔽

作者: jim9606 时间: 2024-1-9 23:51
你可以考虑找一台能跑ACME Client（例如Caddy，自动签证书，可以集成各家的DNS API）的主机当反代入口
不过纯内网的我建议直接不加密连接/自建CA算了，不想输ip的可以在dns弄个指向私网地址的A记录。
一般来说客户端都不强制用加密连接的。

作者: awyer 时间: 2024-1-10 22:33
建议直接lucky，挺好用的，基本所有功能都有了

作者: magiclu 时间: 2024-1-10 22:48
自签名证书然后加了一堆ip进去设置了1000年过期然后后设备加信任

作者: pigzilla 时间: 2024-1-10 23:07
1. 所有服务集中通过一个反代，在那个反代上配置证书，不需要同步。

2. 不用通配符证书，每个机器各自为自己的服务域名生成证书，不需要同步。

3. 一定要用通配符域名，要同步，可以用cron运行rsync在各个机器间同步。

作者: yugu91 时间: 2024-1-11 11:55
直接用生成证书的服务器做nginx反代

作者: 港城钢铁侠 时间: 2024-1-11 11:59
腾讯云还是有一年的证书

，而且用了反代后只在反代上添加证书即可

作者: labyrin 时间: 2024-1-11 12:29
申请泛域名证书，只在网关服务上配证书，后端服务全走HTTP就行了啊，标准的架构

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)