openwrt+ssl证书 提示不安全警告？

sxml***

先用CF SSL证书 https 提示不安全。
用阿里云 SSL证书还是 提示不安全

跟网上教程 都不一样
https://www.right.com.cn/forum/thread-4078027-1-1.html

到底问题在那？那位大佬知道？

ga***

CA证书是颁发给域名的，
内网ip地址不能作为有效的CA证书证明的域名

周***

你用内网ip...

ga***

内网ip地址做SSL传输没必要，
非要用的话，
自己签发一个根CA，
再用它给你的192.168.x.y网站签发一下证书，
导入这个CA根到自己的浏览器里信任一下就行了…

Ngh***

没有ca会给保留地址签发证书
要么自己生成一个ca然后用自己的ca颁发一个证书

Xana***

证书是要明确签发给某个特定的域名，内网访问OpenWRT需要将地址解析为固定域名，然后将证书签发给这个域名才能用。

Xana***

证书点开看看啥错误呗

sxml***

gaze 发表于 2022-7-12 19:19
CA证书是颁发给域名的，
内网ip地址不能作为有效的CA证书证明的域名

难搞 有公网ip Socat转发端口 用域名加端口号 也提示不安全 越搞越乱有时单IP+端口都无法连接

sxml***

gaze 发表于 2022-7-12 19:24
内网ip地址做SSL传输没必要，
非要用的话，
自己签发一个根CA，

我不是要内网用 抓图没注意看

目的是要外网连接家里 动态DDNS 加域名 加SSL 是不是安全些 警告不知道SSL有没有起作用

ga***

sxml2005 发表于 2022-7-12 21:06
我不是要内网用 抓图没注意看

目的是要外网连接家里 动态DDNS 加域名 加SSL 是不是安全些 警告不知道S ...

如果只是加载在DDNS域名上用https

那没有任何问题的，
在webServer里，
直接配置好证书的pem和key文件就行了。

av***

如果只是自己用，自签名证书，然后在需要访问的客户端浏览器导入即可
如果纠结浏览器图标完美党，那就使用acme之类的脚本，注册用户定期签发，op有相关的自动脚本，到期自动更新。
这样都不对说明你op浏览器的证书好证书链没设置好，去学习一下。
另外，如果只是为了外网访问远程管理保证安全，op架设微批恩服务器，外网连微批恩后就自动是局域网环境了，安全靠外面的微批恩包裹，不用纠结SSL证书

ga***

sxml2005 发表于 2022-7-12 21:06
我不是要内网用 抓图没注意看

目的是要外网连接家里 动态DDNS 加域名 加SSL 是不是安全些 警告不知道S ...

DDNS域名也是可以简单的用cerbot来申请/更新免费证书的，

申请是交互式的，用/usr/bin/certbot 即可
然后，每88天用 certbot -renew 更新一下就行，
可以把命令写在crontab里自动执行，省得自己忘记了。