局域网内搭建一个服务器，可以使用 https 吗

这里的局域网就特指普通家庭局域网

自己签发一个，然后手动信任

1、这种情况有必要用 https 么？
2、用自己生成的证书，但是首次浏览器会警告，给他允许了就好了，左上角的小锁会是红色

局域网内 https 浪费性能啊，做好 wifi 防护就好，反倒别让人连上你 wifi 了

第一种，自签名证书，导入你需要访问的客户端
第二种，你去 LETS ENCRYPT 去注册一个证书，前提你有域名，80 端口如果不能访问可以用 DNS 方式

@flowfire
@littleylv
@i730 情景有点复杂，局域网里另一个设备需要访问这个服务端（不是通过浏览器，是通过设备里的程序），如果是自签发的证书，必须要让这个设备事先授信这个证书是吧

@terrytw 如果是第二种的话，局域网内怎么挂域名

@terrytw 就是普通家庭那种局域网

@terrytw 是不是我要弄个广域网的域名，然后私下在局域网里 dns 把域名解析为局域网地址

@paparika #6 这个有公网域名最方便，否则自建 CA 在设备里导入，就是导入到系统，系统的证书链

@i730
@terrytw 如果是自签名，能导入证书。那么还是存在要解析域名的问题吧，这个怎么搞定

可以，mkcert

@paparika #11 hosts 文件了解一下

自签证书是可以的，也可以暴露 80 端口到外网（或拥有一台外网服务器）
然后获取到证书以后，拿到内网使用。
至于怎么获取证书，letsencrypt 阿里云 腾讯云 等很多第三方都可以签到证书的。
如何获取到证书是一个问题，证书在内网用没问题。

@waacoo 直接贴地址 https://github.com/FiloSottile/mkcert

@i730 对于我来说，服务端和设备是可控的，局域网是不可控的，那么我就不能用静态 ip，这样 hosts 也没用吧

@imdong 抱歉没懂，我是局域网内设备访问局域网服务器，暴露 80 干嘛

@paparika #16 你都不知道服务器 IP 怎么访问？搞个自动化程序，获取服务器 IP 写 hosts

@paparika

局域网绑个域名，然后 mkcert 自建根证书
https://github.com/FiloSottile/mkcert

@i730 哈哈，情景确实比较复杂，算是开个脑洞而已。这块比较小白，见谅

或者 Openssl 自签证书

@whitegerry 那局域网内怎么把域名转化为 ip 呢

问题分两种：
域名是真实的，楼主对域名拥有真实控制权：百度 letsencrypt DNS 验证
域名是伪造的，自签名 CA 生成证书，要求访问者导入 CA 证书到受信任的根证书机构。参考 12306

@imdong 感谢，再问一步，不管真实伪造，局域网内设备访问域名，有没有办法把域名指向局域网服务端的 ip （局域网是不受控的，干涉不了路由等设备）

服务端 ip 不可控？那跟能不能用 https 没什么关系吧

@paparika 可以在域名注册商那里将域名解析到内网的 和解析到公网 ip 地址一样的操作 并且可以设置 txt 记录进行域名签发证书

服务端和客户端可控且能连外网的话，虚拟局域网 n2n/tinc/zerotier，n2n 和 zero 自己不用准备公网服务器，或者 frp。

花点钱，买个域名指向局域网 ip，再买个证书，就可以了。

据我记忆好像是域名可以设置 A 记录到内网 ip，也就是可以指向 192.168.1.1 这种地址

我也很好奇这问题。虽然两台机子间倒腾 https 听起来有点鸡肋，但是大一点的内网是不是会开始自建 ca 服务器了啊？

域名可以设置内网 ip，另一种方法就是 hosts。

当然可以。准备一个域名解析到你的服务器内网 ip.然后按照 Letsencrypt 教程操作就可以了。

域名直接 A 记录内网 ip

letsencrypt DNS 验证 就可以证书了，或者静态 DNS 纪录也可以。

@paparika 内网搭建一个域名解析，或者配置 host 都可以。 内网用域名也是很常见的

如果域名是真实的，而且内网的服务器 IP 是固定且对所有人都可见。
是可以直接解析的。
DSN 解析支持内网，但是用户端要能连接外网。

你把 a.baidu.com 指向 127.0.0.1 所有访问这个地址的人都会打开本地.
如果内网地址是 192.168.1.253 那么吧 s.baidu.com 指向 这个 IP 即可.

1.域名和证书:几块钱买一个域名，freessl 上免费申请证书。
2.内网解析:搭个 dnsmasq,配置文件添加解析;内网的 dhcp 下发的 dns 指向你配的 dnsmasq