全球主机交流论坛

标题: 你们怎么解决HTTPS远程访问的问题？ [打印本页]

作者: 阔空晴云 时间: 2024-8-16 17:01
标题: 你们怎么解决HTTPS远程访问的问题？
本帖最后由阔空晴云于 2024-8-16 17:30 编辑

今天折腾了半天IPV6，直连还是挺爽的。
问题就在于家宽没法绑定域名，我试了，用IPv6加端口能访问，但是绑定域名以后就会被拦截。

所以我干脆直接用IPv6地址来访问，放弃绑定域名了。

但是纯IPv6没法申请证书，远程访问总是提示不安全，强迫症受不了。
于是我自签名证书，自己电脑上导入自签CA，然后https服务那边使用自签证书，

但折腾了半天，还是没解决，因为自签证书也得指定域名，我尝试用“*”通配符，然而毫无卵用，浏览器还是提示不信任，我搜了一下相关信息，发现主流浏览器只信任 *.xxx.com 这种在二级域名上使用的通配符，而不能对整个域名使用通配符，也无法对IP地址使用通配符。
然后我尝试把IPv6地址当作证书的域名，浏览器终于信任了。但IPv6是动态的，我总不能每次变化就重新签发吧，这也太折腾了。

有什么好的办法？

貌似没有好的办法。最终：
自己写了个DDNS的后置脚本，每当IP地址变动的时候，自动重签IP证书。

作者: abc3479 时间: 2024-8-16 17:03
整个DDNS

作者: 阔空晴云 时间: 2024-8-16 17:04

abc3479 发表于 2024-8-16 17:03
整个DDNS

这个没解决证书访问的问题呀，用DDNS + HTTP（不带s）倒是可能，但目前的问题是需要https访问

作者: luckyc 时间: 2024-8-16 17:06
想要直连的便利没有办法，家宽就不是给你建站的

作者: xftaw 时间: 2024-8-16 17:07
cf tunnel /frp？

作者: jqbaobao 时间: 2024-8-16 17:07
纯IPv6没法申请证书
cname、txt记录

作者: 李七夜 时间: 2024-8-16 17:08
你的情况确实比较棘手，但有几种解决方案可以考虑：

### 1. **使用动态 DNS（DDNS）服务**
动态 DNS 服务可以帮助你将动态的 IPv6 地址与一个域名绑定。常见的 DDNS 服务提供商包括 No-IP、DynDNS 和 DuckDNS。这些服务可以在你 IP 地址变更时自动更新 DNS 记录。

**步骤：**
1. 选择一个支持 IPv6 的 DDNS 提供商。
2. 注册并创建一个域名（通常是子域名）。
3. 在路由器或计算机上配置 DDNS 更新客户端，使其在每次 IP 地址更改时自动更新 DDNS 记录。
4. 使用提供的域名代替直接使用 IPv6 地址。

### 2. **使用 Let's Encrypt 申请证书**
Let's Encrypt 提供免费证书，并且支持对某些动态域名进行证书签发。通过使用 DDNS 服务，你可以为你的域名申请有效的证书。

**步骤：**
1. 配置 DDNS 服务并更新你的域名。
2. 使用 Certbot 等工具从 Let's Encrypt 申请证书。Certbot 会自动处理域名的验证和证书的续期。

### 3. **自签名证书的替代方案**
如果使用自签名证书，你可以考虑：
- **使用静态 IPv6 地址**：虽然可能不太现实，但如果可能的话，可以申请一个静态的 IPv6 地址。
- **自签名证书配合 IP 地址**：如果只是在内部使用，并且没有安全性要求，使用自签名证书配合 IPv6 地址也可以接受，但会面临浏览器信任问题。

### 4. **使用内网 CA**
如果是在公司或内部网络环境中，你可以使用内部 CA 颁发证书，内部 CA 可以在公司内信任，解决自签名证书的信任问题。配置过程类似于使用自签名证书，但需要在所有需要访问的设备上安装 CA 根证书。

### 5. **使用扶墙或内网代理**
如果对外公开的证书问题无法解决，考虑通过扶墙或内部代理服务来访问这些资源，这样可以在受信任的环境中使用 IPv6。

通过这些方法，你可以解决 IPv6 动态地址和证书信任的问题，使得你的访问环境更加稳定和安全。

作者: 阔空晴云 时间: 2024-8-16 17:10

luckyc 发表于 2024-8-16 17:06
想要直连的便利没有办法，家宽就不是给你建站的

没打算建站，建站肯定不会用IP来建站呀，纯粹自己远程访问

作者: 打酱油的 时间: 2024-8-16 17:10
当然是加钱了，不然还能怎样

作者: 阔空晴云 时间: 2024-8-16 17:11

xftaw 发表于 2024-8-16 17:07
cf tunnel /frp？

目前备用方案就是frp，但那样又失去直连的优势了

作者: sdlyjcl 时间: 2024-8-16 17:12
用ddns 然后反向代理就行用lucky

作者: 打酱油的 时间: 2024-8-16 17:13

阔空晴云发表于 2024-8-16 17:11
目前备用方案就是frp，但那样又失去直连的优势了

你应该不是串流玩游戏吧？直连其实也没啥优势，除了延迟低一些

作者: larry 时间: 2024-8-16 17:14

阔空晴云发表于 2024-8-16 17:10
没打算建站，建站肯定不会用IP来建站呀，纯粹自己远程访问

纯粹自己远程访问, 就先去治治自己的强迫症, 别没事找事做.

作者: 阔空晴云 时间: 2024-8-16 17:16

larry 发表于 2024-8-16 17:14
纯粹自己远程访问, 就先去治治自己的强迫症, 别没事找事做.

这个跟强迫症没关系吧，https是确保不被篡改（比如某些运营商会给HTTP插入广告），使用IPv6访问是为了直连，绑定不了域名是政策限制。

作者: ubze 时间: 2024-8-16 17:17
v4可以ddns，v6没玩过

作者: larry 时间: 2024-8-16 17:18

阔空晴云发表于 2024-8-16 17:16
这个跟强迫症没关系吧，https是确保不被篡改（比如某些运营商会给HTTP插入广告），使用IPv6访问是为了直 ...

你自己说的强迫症.

作者: 阔空晴云 时间: 2024-8-16 17:24

larry 发表于 2024-8-16 17:18
你自己说的强迫症.

我的原意是：如果浏览器提示不信任，我得去查看证书指纹，确认是因为证书本身不被信任而不是中间人攻击。毕竟内网的东西。如果中间人冒充证书，盗取了密码，岂不是坑，我总不能每次访问都去检查证书是否吻合吧，这个才是强迫症。即便治好了强迫症，这个问题依旧存在。

作者: 阔空晴云 时间: 2024-8-16 17:28

sdlyjcl 发表于 2024-8-16 17:12
用ddns 然后反向代理就行用lucky

感谢，但是我看lucky也得绑定域名，运营商发现域名访问HTTP(s)会直接恰，我还是折腾DDNS+自动签发证书吧

作者: hyf3513 时间: 2024-8-16 17:33
frp

作者: sdlyjcl 时间: 2024-8-18 19:32

阔空晴云发表于 2024-8-16 17:28
感谢，但是我看lucky也得绑定域名，运营商发现域名访问HTTP(s)会直接恰，我还是折腾DDNS+自动签发证书吧 ...

我都用的好得很，lucky可以自动签ls证书

作者: Ducker69 时间: 2024-8-18 19:53
第一次听说v6绑域名会被拦截

作者: dole 时间: 2024-8-18 19:55
建站扫到会被封

欢迎光临全球主机交流论坛 (https://443502.xyz/)