眸有星辰 发表于 2024-8-16 17:35:00

怎么解决HTTPS远程访问的问题?

今天折腾了半天IPV6,直连还是挺爽的。
问题就在于家宽没法绑定域名,我试了,用IPv6加端口能访问,但是绑定域名以后就会被拦截。

所以**脆直接用IPv6地址来访问,放弃绑定域名了。

但是纯IPv6没法申请证书,远程访问总是提示不安全,强迫症受不了。
于是我自签名证书,自己电脑上导入自签CA,然后https服务那边使用自签证书,

但折腾了半天,还是没解决,因为自签证书也得指定域名,我尝试用“*”通配符,然而毫无卵用,浏览器还是提示不信任,我搜了一下相关信息,发现主流浏览器只信任 *.xxx.com 这种在二级域名上使用的通配符,而不能对整个域名使用通配符,也无法对IP地址使用通配符。
然后我尝试把IPv6地址当作证书的域名,浏览器终于信任了。但IPv6是动态的,我总不能每次变化就重新签发吧,这也太折腾了。

有什么好的办法?

貌似没有好的办法。最终:
自己写了个DDNS的后置脚本,每当IP地址变动的时候,自动重签IP证书。

共饮一江水 发表于 2024-8-16 17:35:13

想要直连的便利没有办法,家宽就不是给你建站的

别动我兔子 发表于 2024-8-16 17:36:22

共饮一江水 发表于 2024-8-16 17:35
想要直连的便利没有办法,家宽就不是给你建站的

没打算建站,建站肯定不会用IP来建站呀,纯粹自己远程访问

仙女粉色系 发表于 2024-8-16 17:36:40

cf tunnel /frp?

可爱暴击srk 发表于 2024-8-16 17:36:55

仙女粉色系 发表于 2024-8-16 17:36
cf tunnel /frp?

目前备用方案就是frp,但那样又失去直连的优势了

九月曲终散 发表于 2024-8-16 17:37:08

你的情况确实比较棘手,但有几种解决方案可以考虑:

### 1. **使用动态 DNS(DDNS)服务**
动态 DNS 服务可以帮助你将动态的 IPv6 地址与一个域名绑定。常见的 DDNS 服务提供商包括 No-IP、DynDNS 和 DuckDNS。这些服务可以在你 IP 地址变更时自动更新 DNS 记录。

**步骤:**
1. 选择一个支持 IPv6 的 DDNS 提供商。
2. 注册并创建一个域名(通常是子域名)。
3. 在路由器或计算机上配置 DDNS 更新客户端,使其在每次 IP 地址更改时自动更新 DDNS 记录。
4. 使用提供的域名代替直接使用 IPv6 地址。

### 2. **使用 Let's Encrypt 申请证书**
Let's Encrypt 提供免费证书,并且支持对某些动态域名进行证书签发。通过使用 DDNS 服务,你可以为你的域名申请有效的证书。

**步骤:**
1. 配置 DDNS 服务并更新你的域名。
2. 使用 Certbot 等工具从 Let's Encrypt 申请证书。Certbot 会自动处理域名的验证和证书的续期。

### 3. **自签名证书的替代方案**
如果使用自签名证书,你可以考虑:
- **使用静态 IPv6 地址**:虽然可能不太现实,但如果可能的话,可以申请一个静态的 IPv6 地址。
- **自签名证书配合 IP 地址**:如果只是在内部使用,并且没有安全性要求,使用自签名证书配合 IPv6 地址也可以接受,但会面临浏览器信任问题。

### 4. **使用内网 CA**
如果是在公司或内部网络环境中,你可以使用内部 CA 颁发证书,内部 CA 可以在公司内信任,解决自签名证书的信任问题。配置过程类似于使用自签名证书,但需要在所有需要访问的设备上安装 CA 根证书。

### 5. **使用 扶墙 或内网代理**
如果对外公开的证书问题无法解决,考虑通过 扶墙 或内部代理服务来访问这些资源,这样可以在受信任的环境中使用 IPv6。

通过这些方法,你可以解决 IPv6 动态地址和证书信任的问题,使得你的访问环境更加稳定和安全。

简单 发表于 2024-8-18 06:25:22

海妖 发表于 2024-8-20 02:48:45

求沙发

说得来 发表于 2024-8-20 03:16:50

没人回帖。。。我来个吧

心有翅膀 发表于 2024-8-20 06:35:20

支持支持再支持
页: [1] 2 3 4
查看完整版本: 怎么解决HTTPS远程访问的问题?