如何避免 LAN 网站上出现自签名 SSL 警告？答案

【问题标题】：How to avoid a self signed SSL warning on a LAN website?如何避免 LAN 网站上出现自签名 SSL 警告？
【发布时间】：2019-02-24 23:33:26
【问题描述】：

我正在开发一个局域网使用的网站。本网站需要使用 SSL。我正在使用.lan 域名从其他PC 访问它。但是，Let's Encrypt 不接受此域名，因为它不是公共域名。我已阅读有关将证书添加为受信任证书的信息，但我不喜欢使用此选项，因为这意味着我需要将其添加到本地网络上的所有 PC。

现在我收到ERR_CERT_AUTHORITY_INVALID 警告，然后我才能从网络上的另一台 PC 进入该页面。有没有办法避免这个错误或让 Let's Encrypt 接受我的本地域？

【问题讨论】：

不要使用随机的本地 TLD。人们已经被这样的错误烧毁了，只需搜索.DEV。相反，购买任何 TLD 中的任何域名，例如 example.com，然后使用它作为基础来命名您的所有内部资源，例如 area51.int.example.com 等。然后您将能够在 LE 或其他地方获得适当的证书。跨度>

【解决方案1】：

不，没有办法做到这一点，至少不是免费的。

Let's Encrypt 无法验证您是否拥有该域，因为它实际上并不存在。但这是他们如何为您获得证书的步骤之一。

如果您将自签名证书添加到您的网站，则 LAN 上的所有计算机都必须信任您的 CA，正如您所描述的，这不是一个想要的行为。

您可以只使用仅使用 HTTP 的网站，但某些浏览器会警告您的用户注意此页面，因为它不安全，同一网络上的其他用户可能会看到密码和其他个人信息他们与网站交流时的信息。

您可以尝试以下两件事：

~~您可以尝试通过“普通”CA 获取证书。你会付钱让他们这样做，所以也许他们可以帮助你获得 .lan 域的证书。但我不太确定。~~
您可以为该服务获得一个真实的域，并且只是每隔一段时间才将其放到网络上，因此您可以使用 Let's Encrypt Cert。也许一个子域就足够了？这样，如果您已经拥有一些域，您就不需要新域。如果这是在公司/机构环境中，也许您可以使用您公司/机构网站的子域？

【讨论】：

“也许他们可以帮助您获得 .lan 域的证书”，例如 globalsign.com/en/blog/certificates-for-internal-servers 并在所有解决方案中注明：迁移到已注册的域名 - 一个很好的长期选择，允许您继续从您首选的受信任 CA 提供商处获取证书。
如果您查看cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.6.0.pdf 第 3.2.2.4 节，您将看到 CA 需要通过列出的方式之一验证颁发证书的请求，这都涉及来自注册域名（例如从 whois 中查找注册人）或 HTTP 或 DNS 上的交互式请求，以断言客户端对域的控制。由于所有这些原因，这对于内部私有名称可能根本不起作用......

【解决方案2】：

如果您使用的是自签名证书或自签名 CA，那么避免 ERR_CERT_AUTHORITY_INVALID 错误的唯一方法是将您的证书/CA 安装为信任颁发者。这是非常典型的，可以由域控制器完成。

公共证书颁发机构不能向私有域颁发证书。

【讨论】：