切换到窄版

 找回密码
 立即注册
搜索
Stage1st»论坛 主论坛 PC数码 家宽DDNS申请ssl证书的正确姿势是什么
返回列表 发新帖
查看: 4474|回复: 23

[网络] 家宽DDNS申请ssl证书的正确姿势是什么

[复制链接]
ぜかまし
发表于 2023-3-3 11:33 来自手机 | 显示全部楼层 |阅读模式
 条件如下:
 1. 家宽公网IP,使用某免费国外DDNS回家
  非敏感数据http域名+端口号,敏感数据wg回家
 2. 付费域名一个,平时指向境外小鸡一台,dns记录交由cf处理。已开启https
  
 需求:
 家宽的ddns启用https
 
 疑问:
  家宽ip会变,ssl证书岂不是每次都要重新签一次?能否配合我的付费域名有啥解决方案?
回复

使用道具 举报

zerocount
     
发表于 2023-3-3 11:37 | 显示全部楼层
你哪做的域名。问问有没有配套服务先。
回复

使用道具 举报

楪蘭楓
     
发表于 2023-3-3 11:41 | 显示全部楼层
本帖最后由 楪蘭楓 于 2023-3-3 11:59 编辑

ssl证书跟ip完全没有关系啊
用dns记录认证和文件认证都不需要跟ip绑定
回复

使用道具 举报

Lazia
     
发表于 2023-3-3 11:47 | 显示全部楼层
acme + let's encrypt
3个月一签。
证书绑的是域名。
回复

使用道具 举报

nessaj
头像被屏蔽
     
发表于 2023-3-3 11:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

计算机组成原理
     
发表于 2023-3-3 13:00 来自手机 | 显示全部楼层
可以用acme.sh的DNS认证。HTTP认证由于国内封80基本是走不通的。
回复

使用道具 举报

The1ast
     
发表于 2023-3-3 13:01 | 显示全部楼层
家用走80 443端口马上封给你看
记得换端口
回复

使用道具 举报

lhw369
发表于 2023-3-3 13:38 来自手机 | 显示全部楼层
ぜかまし 发表于 2023-3-3 11:33
 条件如下:
 1. 家宽公网IP,使用某免费国外DDNS回家
  非敏感数据http域名+端口号,敏感数据wg回家

acme通过DNS验证
需要acme支持DNS解析服务商。国内可以用dnspod。
用域名访问,cname到你ddns的域名上

—— 来自 HONOR HPB-AN00, Android 12上的 S1Next-鹅版 v2.5.4
回复

使用道具 举报

fat
发表于 2023-3-3 13:47 来自手机 | 显示全部楼层
直接dnspod就可以买域名和申请证书。d域名最便宜一年10元左右,证书免费。dnspod证书1年的,比let's encrypt要方便点。
回复

使用道具 举报

qianoooo
     
发表于 2023-3-3 13:55 来自手机 | 显示全部楼层
和ip没关系
回复

使用道具 举报

小贝伦
     
发表于 2023-3-3 15:22 | 显示全部楼层
本帖最后由 小贝伦 于 2023-3-3 15:23 编辑

nginx-proxy-manager加let's encrypt,可以自动续期,还有可以反向代理,省的每个服务路由器都得开一个端口
回复

使用道具 举报

satan023
发表于 2023-3-3 17:05 来自手机 | 显示全部楼层
本帖最后由 satan023 于 2023-3-3 17:07 编辑

我是腾讯无良心云做frp主机,域名和dns SSL都用腾讯的

这样你的域名就是腾讯上买的域名,dnspod的dns设置里面把域名指向轻量云ip,再申请免费ssl证书就可以了。

客户端这边弄个frp client把需要的流量指向到轻量云就行

也就是说抛弃ddns方案

至于为什么不用ddns是因为上海电信之前封过家宽提供web服务,为了规避这个问题。
回复

使用道具 举报

Andrue
     
发表于 2023-3-3 19:25 来自手机 | 显示全部楼层
证书是证明你在当前设备上拥有该域名,ip可以改的
回复

使用道具 举报

すぴぱら
     
发表于 2023-3-3 19:27 | 显示全部楼层
家里群晖是自带的lets enctypt自动申请 端口自动绑到5001…
回复

使用道具 举报

heyeshuang
     
发表于 2023-3-3 20:13 | 显示全部楼层
Caddy加Cloudflare DNS插件就支持DNS-01方式自动申请证书
回复

使用道具 举报

laotoutou
     
发表于 2023-3-4 15:34 来自手机 | 显示全部楼层
白群晖的给的域名一直在用。还有个花生壳的。群晖有时候连不上,花生壳挺稳的
回复

使用道具 举报

ltycomputer
     
发表于 2023-3-7 09:57 来自手机 | 显示全部楼层
acme.sh 自带dns模式签发,需要cf账号api key ,在域内添加txt记录验证你有这个域名就可以发证书了,不用架服务

搜acme dns api,还支持几十家域名服务商
回复

使用道具 举报

ぜかまし
 楼主| 发表于 2023-3-7 11:30 | 显示全部楼层
ltycomputer 发表于 2023-3-7 09:57
acme.sh 自带dns模式签发,需要cf账号api key ,在域内添加txt记录验证你有这个域名就可以发证书了,不用架 ...

是的,好用的一批。以前只用过certbot还是挺繁琐的,现在acme无脑搞定了
回复

使用道具 举报

虎纹鲨鱼鱼鱼
     
发表于 2023-3-7 15:32 | 显示全部楼层
我的华硕路由器和NAS都自带免费的DDNS和附赠个lets enctypt的SSL证书
回复

使用道具 举报

mirari
     
发表于 2023-3-7 16:01 | 显示全部楼层
本帖最后由 mirari 于 2023-3-7 16:04 编辑

证书跟ip没关系,绑定的是域名,域名指向的服务器或者域名解析只要配置正确一次校验即可。
跟端口也没关系,哪怕运营商封了443,你也仍然可以用自定义的端口进行https访问。
免费证书都有一年期限制,阿里云之类的也能用,但是ACME自动签发更方便。

不过如果只是想公网访问,现在更建议的做法是用zerotier,而尽量避免使用ddns。
目的是不要暴露家用环境到公网,防止黑产扫描你的漏洞。

回复

使用道具 举报

chachi
     
发表于 2023-3-7 17:42 来自手机 | 显示全部楼层
现在好些人都吹ipv6
我想请教下如果电脑上有程序泄漏了我的ipv6地址,是否可以让外部恶意程序直接扫描我端口?

----发送自 samsung SM-S9180,Android 13
回复

使用道具 举报

astkaasa
     
发表于 2023-3-7 18:08 来自手机 | 显示全部楼层
chachi 发表于 2023-3-7 17:42
现在好些人都吹ipv6
我想请教下如果电脑上有程序泄漏了我的ipv6地址,是否可以让外部恶意程序直接扫描我端 ...

国内ipv6地址基本上两三天就会换一个,感觉风险不大
回复

使用道具 举报

ork
     
发表于 2023-3-7 19:39 | 显示全部楼层
chachi 发表于 2023-3-7 17:42
现在好些人都吹ipv6
我想请教下如果电脑上有程序泄漏了我的ipv6地址,是否可以让外部恶意程序直接扫描我端 ...

路由器有防火墙的啊,默认drop所有传入的连接,使用::1:2:3:4/::FFFF:FFFF:FFFF:FFFF的格式可以匹配结尾为1:2:3:4的ip,再只开放少量自己用到的端口,就不会被直接扫了
回复

使用道具 举报

_XiDeAssassin
     
发表于 2023-3-7 23:02 | 显示全部楼层
win-acme,windows下帮你搞定lets enctypt证书的程序,配合cloudflare比较好用
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-5-25 04:57 , Processed in 0.108824 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表