使用 HTTP/2 作为 LAN 内部通信机制的 SSL 证书问题
SSL Certificate issue with using HTTP/2 as a communication mechanism inside LAN
我们是 运行 宁服务器,每个服务器 运行 多个进程,这些服务器当前使用 HTTP 相互通信(每个客户端使用 1-2 个物理服务器,并且有多个客户端与单独的服务器)。
服务器在每个客户端本地托管。
我们正在考虑将提供静态文件(多个图像、视频)的 nginx 服务迁移到 HTTP/2,以加快处理速度,因为这很常见一次请求 1000 张图像,这是 HTTP/2 擅长的领域。
对于客户端,我们使用基于铬的 (Electron) 客户端。
上面出现了一个问题,在我们使用的 Chromium 版本中使用 HTTP/2 时需要 TLS 证书。因为是局域网所以没有域名,连IP地址都不能保证是静态的。
注意:使用 TLS 只是一种奖励,我们的主要目标是从 HTTP/2.
获得延迟改进
有办法解决这个问题吗?
解决方案是为域颁发自签名证书,该证书已添加到所有受影响客户端的主机文件中。证书颁发机构已在所有客户端计算机中手动声明为受信任。
对于更通用的解决方案,可以使用任何 DNS 解析选项,只要它对所有客户端和任何签名证书都是一致的,而自签名需要手动添加 CA文件给所有客户。
我们是 运行 宁服务器,每个服务器 运行 多个进程,这些服务器当前使用 HTTP 相互通信(每个客户端使用 1-2 个物理服务器,并且有多个客户端与单独的服务器)。
服务器在每个客户端本地托管。
我们正在考虑将提供静态文件(多个图像、视频)的 nginx 服务迁移到 HTTP/2,以加快处理速度,因为这很常见一次请求 1000 张图像,这是 HTTP/2 擅长的领域。
对于客户端,我们使用基于铬的 (Electron) 客户端。
上面出现了一个问题,在我们使用的 Chromium 版本中使用 HTTP/2 时需要 TLS 证书。因为是局域网所以没有域名,连IP地址都不能保证是静态的。
注意:使用 TLS 只是一种奖励,我们的主要目标是从 HTTP/2.
有办法解决这个问题吗?
解决方案是为域颁发自签名证书,该证书已添加到所有受影响客户端的主机文件中。证书颁发机构已在所有客户端计算机中手动声明为受信任。
对于更通用的解决方案,可以使用任何 DNS 解析选项,只要它对所有客户端和任何签名证书都是一致的,而自签名需要手动添加 CA文件给所有客户。