← 返回头版
互联网

TLS certificates for internal services done right

2026-07-09 · 综述 ollama:qwen3.5:9b

文章探讨了为内部服务配置TLS证书的两种方案,并对比了使用私有顶级域名配合自签名证书与使用公共域名配合Split-Horizon DNS的优劣 [1]。作者推荐后者,即通过结合VPN、WAF和ACME协议实现自动化证书管理,从而避免客户端信任问题并保障安全 [1]。

具体实施方案中,建议采用Split-Horizon DNS配置,使内部服务在公网解析为公共IP以获取Let's Encrypt或ZeroSSL证书,同时在VPN内网解析为内部IP [1]。为了构建Web访问防火墙(WAF),可通过Nginx绑定VPN网络接口(如our-server.netbird.cloud:443)来拒绝非VPN来源的流量 [1]。

在自动化管理方面,建议使用acme.sh工具配合--standalone模式获取证书,并通过cron任务实现证书的自动续期与同步 [1]。针对多子域名服务场景,文章建议优先使用TLS SAN(Subject Alternative Name),而非通配符证书,以平衡便利性与安全性 [1]。


TLS证书Split-Horizon DNSLet's EncryptNetBirdNginx网络安全