你们怎么解决HTTPS远程访问的问题？

阔空晴云

今天折腾了半天IPV6，直连还是挺爽的。
问题就在于家宽没法绑定域名，我试了，用IPv6加端口能访问，但是绑定域名以后就会被拦截。

所以我干脆直接用IPv6地址来访问，放弃绑定域名了。

但是纯IPv6没法申请证书，远程访问总是提示不安全，强迫症受不了。
于是我自签名证书，自己电脑上导入自签CA，然后https服务那边使用自签证书，

但折腾了半天，还是没解决，因为自签证书也得指定域名，我尝试用“*”通配符，然而毫无卵用，浏览器还是提示不信任，我搜了一下相关信息，发现主流浏览器只信任 *.xxx.com 这种在二级域名上使用的通配符，而不能对整个域名使用通配符，也无法对IP地址使用通配符。
然后我尝试把IPv6地址当作证书的域名，浏览器终于信任了。但IPv6是动态的，我总不能每次变化就重新签发吧，这也太折腾了。

有什么好的办法？

貌似没有好的办法。最终：
自己写了个DDNS的后置脚本，每当IP地址变动的时候，自动重签IP证书。

abc3479

整个DDNS

阔空晴云

abc3479 发表于 2024-8-16 17:03
整个DDNS

这个没解决证书访问的问题呀，用DDNS + HTTP（不带s）倒是可能，但目前的问题是需要https访问

luckyc

想要直连的便利没有办法，家宽就不是给你建站的

xftaw

cf tunnel /frp？

jqbaobao

纯IPv6没法申请证书
cname、txt记录

李七夜

你的情况确实比较棘手，但有几种解决方案可以考虑：

### 1. **使用动态 DNS（DDNS）服务**
动态 DNS 服务可以帮助你将动态的 IPv6 地址与一个域名绑定。常见的 DDNS 服务提供商包括 No-IP、DynDNS 和 DuckDNS。这些服务可以在你 IP 地址变更时自动更新 DNS 记录。

**步骤：**
1. 选择一个支持 IPv6 的 DDNS 提供商。
2. 注册并创建一个域名（通常是子域名）。
3. 在路由器或计算机上配置 DDNS 更新客户端，使其在每次 IP 地址更改时自动更新 DDNS 记录。
4. 使用提供的域名代替直接使用 IPv6 地址。

### 2. **使用 Let's Encrypt 申请证书**
Let's Encrypt 提供免费证书，并且支持对某些动态域名进行证书签发。通过使用 DDNS 服务，你可以为你的域名申请有效的证书。

**步骤：**
1. 配置 DDNS 服务并更新你的域名。
2. 使用 Certbot 等工具从 Let's Encrypt 申请证书。Certbot 会自动处理域名的验证和证书的续期。

### 3. **自签名证书的替代方案**
如果使用自签名证书，你可以考虑：
- **使用静态 IPv6 地址**：虽然可能不太现实，但如果可能的话，可以申请一个静态的 IPv6 地址。
- **自签名证书配合 IP 地址**：如果只是在内部使用，并且没有安全性要求，使用自签名证书配合 IPv6 地址也可以接受，但会面临浏览器信任问题。

### 4. **使用内网 CA**
如果是在公司或内部网络环境中，你可以使用内部 CA 颁发证书，内部 CA 可以在公司内信任，解决自签名证书的信任问题。配置过程类似于使用自签名证书，但需要在所有需要访问的设备上安装 CA 根证书。

### 5. **使用 扶墙 或内网代理**
如果对外公开的证书问题无法解决，考虑通过 扶墙 或内部代理服务来访问这些资源，这样可以在受信任的环境中使用 IPv6。

通过这些方法，你可以解决 IPv6 动态地址和证书信任的问题，使得你的访问环境更加稳定和安全。

阔空晴云

luckyc 发表于 2024-8-16 17:06
想要直连的便利没有办法，家宽就不是给你建站的

没打算建站，建站肯定不会用IP来建站呀，纯粹自己远程访问

打酱油的

当然是加钱了，不然还能怎样

阔空晴云sdlyjcl

xftaw 发表于 2024-8-16 17:07
cf tunnel /frp？

目前备用方案就是frp，但那样又失去直连的优势了用ddns 然后反向代理就行用lucky