Назад | Перейти на главную страницу

Надежный SSL во внутренней сети без доступа в Интернет

У меня есть Raspberry PI 3 в качестве маршрутизатора для сети Wi-Fi.
Это может быть без доступа в Интернет.
Я запускаю бэкэнд для приложения Android / iOS на этой малине.
Я хочу, чтобы внешний интерфейс был подключен через SSL, чтобы исключить слежку со стороны других людей, подключенных к этому Wi-Fi.

Вопросы:

  1. Android / iOS не позволяет мне подключаться к ssl с самоподписанным сертификатом.
  2. Я могу решить эту проблему, создав свой собственный центр сертификации и загрузив его на телефоны, но каждому, кто захочет использовать мое приложение, придется скачать и загрузить его (это немного расстраивает ...)
  3. Вероятно, это можно исправить, купив сертификат (или используя LE, но иногда он может давать сбой, потому что я буду развертывать тысячи малин ... тогда трудно управлять этим).
  4. У меня нет домена для этой малины. Я могу добавить его на свой DNS-сервер, но без подключения к Интернету он будет недоступен.
  5. Таким образом, я могу настроить DNS-сервер на raspberry с помощью bind9 для сбора других записей, кроме моего домена.

Неужели это так сложно? Нет более простого подхода?
Что-то вроде WiFi с SSL?

У вас есть два варианта:

  • сверните свой собственный CA
  • получить домен и получить сертификаты (например, от letsencrypt) для поддоменов, у которых A в Интернете указывает на онлайн-сервер, а записи A указывают на устройства LAN в вашей локальной сети DNS. Затем скопируйте сертификаты с вашего интернет-сервера. Возможно, вы сможете использовать глобальные A-записи с IP-адресами LAN, когда вы используете метод letsencrypt dns-01, но я не тестировал это.