TLS certificates for internal services done right
2 days ago
- #TLS
- #Networking
- #DNS
- 通过使用分离视野DNS,同一域名可以根据客户端连接解析为公共或私有IP。
- 设置WAF(例如通过nginx)可以阻止来自公共互联网的流量,从而在DNS之外增加安全性。
- 使用acme.sh和cron作业自动化证书续订,确保无需手动干预即可持续进行TLS加密。
- 使用SAN证书可以在一个证书下为多个子域名启用安全连接,从而避免通配符证书的安全风险。