Domain-Name-System

內部網路中受信任的 SSL,無需訪問 Internet

  • January 3, 2017

我有一個 Raspberry PI 3 作為 WiFi 網路的路由器。

它可以沒有網際網路訪問。

我正在這個覆盆子上執行 android/iOS 應用程序的後端。

我想通過 SSL 連接前端,以排除連接到此 wifi 的其他人的任何間諜活動。

問題:

  1. Android/iOS 不允許我使用自簽名證書連接到 ssl。
  2. 我可以通過創建自己的 CA 並將其載入到手機來解決它,但是每個想要使用我的應用程序的人都必須下載 CA 並載入它。(這有點令人沮喪……)
  3. 它可以通過購買證書來解決(或使用 LE,但有時可能會失敗,因為我將部署數千個覆盆子……那時很難管理它)。
  4. 我沒有那個覆盆子的域。我可以將它添加到我的 DNS 伺服器,但如果沒有網際網路連接,它將無法訪問。
  5. 所以我可以用bind9在樹莓上建立DNS伺服器來收集除我的域之外的其他條目。

有這麼難嗎?有沒有更簡單的辦法?

像帶 SSL 的 WiFi 之類的東西?

你有兩個選擇:

  • 推出你自己的 CA
  • 獲取域並獲取子域的證書(即來自letsencrypt),其中網際網路上的A 指向線上伺服器,A 記錄指向LAN dns 上的區域網路設備。然後從您的網際網路伺服器複製證書。當您使用letsencrypt dns-01方法時,您可以使用全域A記錄和LAN ips,但我沒有對此進行測試。

引用自:https://serverfault.com/questions/823797