Надежный SSL во внутренней сети без доступа в Интернет
У меня есть Raspberry PI 3 в качестве маршрутизатора для сети Wi-Fi.
Это может быть без доступа в Интернет.
Я использую серверную часть приложения для Android / iOS на этой малине.
Я хочу, чтобы интерфейс был подключен через SSL, чтобы исключить слежку со стороны других людей, подключенных к этому Wi-Fi.
Проблемы:
- Android / iOS не позволяют мне подключаться к ssl с самозаверяющим сертификатом.
- Я могу решить эту проблему, создав свой собственный центр сертификации и загрузив его на телефоны, но каждый, кто хочет использовать мое приложение придется загрузить CA и загрузить его. (Это немного расстраивает ...)
- Вероятно, это можно исправить, купив сертификат (или используя LE, но иногда это может давать сбой, потому что я буду развертывать тысячи малины ... тогда трудно с этим справиться)
- У меня нет домена для этой малины. Я могу добавить его на свой DNS-сервер, но он был бы недоступен без подключения к Интернету.
- Таким образом, я могу настроить DNS-сервер на raspberry с помощью bind9 для сбора других записей, кроме моего домена.
Неужели это так сложно? Нет более простого подхода?
Что-то вроде Wi-Fi с SSL?
1
задан MadHatter supports Monica
3 January 2017 в 15:58
Ссылка
1 ответ
У вас есть два варианта:
- roll your own CA
- get a domain и get certificates (т.е. from letsencrypt) for subdomains, которые имеют A в Интернете, указывающую на онлайн-сервер, и A records, указывающую на устройства lan в вашей локальной сети dns. Затем скопируйте сертификаты с вашего интернет-сервера. Вы можете использовать глобальные записи A с помощью LAN ips, когда используете метод letsencrypt dns-01, но я этого не тестировал.
3