Назад |
Перейти на главную страницу
Надежный SSL во внутренней сети без доступа в Интернет
У меня есть Raspberry PI 3 в качестве маршрутизатора для сети Wi-Fi.
Это может быть без доступа в Интернет.
Я запускаю бэкэнд для приложения Android / iOS на этой малине.
Я хочу, чтобы внешний интерфейс был подключен через SSL, чтобы исключить слежку со стороны других людей, подключенных к этому Wi-Fi.
Вопросы:
- Android / iOS не позволяет мне подключаться к ssl с самоподписанным сертификатом.
- Я могу решить эту проблему, создав свой собственный центр сертификации и загрузив его на телефоны, но каждому, кто захочет использовать мое приложение, придется скачать и загрузить его (это немного расстраивает ...)
- Вероятно, это можно исправить, купив сертификат (или используя LE, но иногда он может давать сбой, потому что я буду развертывать тысячи малин ... тогда трудно управлять этим).
- У меня нет домена для этой малины. Я могу добавить его на свой DNS-сервер, но без подключения к Интернету он будет недоступен.
- Таким образом, я могу настроить DNS-сервер на raspberry с помощью bind9 для сбора других записей, кроме моего домена.
Неужели это так сложно? Нет более простого подхода?
Что-то вроде WiFi с SSL?
У вас есть два варианта:
- сверните свой собственный CA
- получить домен и получить сертификаты (например, от letsencrypt) для поддоменов, у которых A в Интернете указывает на онлайн-сервер, а записи A указывают на устройства LAN в вашей локальной сети DNS. Затем скопируйте сертификаты с вашего интернет-сервера. Возможно, вы сможете использовать глобальные A-записи с IP-адресами LAN, когда вы используете метод letsencrypt dns-01, но я не тестировал это.