大量内网设备 https 问题

内网有 200 多台摄像头(具体来说,是运行 debian 的开发板),提供了 http 地址的 mjpg 地址可以直接看到视频,大概是

http://192.168.25.1/video.mjpg
http://192.168.25.2/video.mjpg
http://192.168.25.3/video.mjpg
http://192.168.25.4/video.mjpg
http://192.168.25.5/video.mjpg
...
http://192.168.25.200/video.mjpg

现在遇到了一个问题,我要在一个 https 的网页中,通过 img 标签显示视频,然而因为这些视频都是 http 的,浏览器拒绝显示。

我想有这么几个方案:

  1. 通过一台中心的 nginx 反代,给他们加上 https 。但是这样流量都会跑到反代服务器上。到时候估计反代服务器的网络压力有点大

  2. 在每个摄像头上,签发自签名的证书,直接给它的 IP 签。不知道这个好不好搞,可不可以像泛域名一样,整个网段就签名了。

  3. 或者要不给每个设备绑定一个域名吧。申请一个域名比如 aaa.com ,然后把*.device.aaa.com 申请 ssl 证书,然后找找有没有什么 dns 服务器,可以把 192_168_25_x.device.addd.com 中的 IP 匹配出来,解析到 192.168.25.x

求思路。

相关文章

15 thoughts on “大量内网设备 https 问题

  1. 按理来说标签地址写完整 url (也就是 http 开头的)应该不会拒绝显示的,除非浏览器配置为拒绝混合内容。
    如果要加,肯定是用 nginx 反代,自签名证书浏览器是不信任的。

  2. 访问这个网页的设备固定吗?如果固定的话,反响代理可以直接建在本机上,就不存在网络压力了。

  3. nginx 前面全部用 https,后端用 http 可行不?(我没玩过 nginx,我是参考负载均衡 slb 推测的)

  4. 哦,不是泛解析,说错了。得按照设备地址逐条解析,不过目前主流 dns 都支持批量导入功能的。

  5. 2 这个需要自签一个根证书 然客户端浏览器信任。。。然后 用根证书 root.key 签发各个 IP 的证书。。。工作量也很大。。。

  6. 可以申请公网可用的 *.aaa.com 泛域名证书
    然后内网 dns 服务器把域名 192_168_1_2.aaa.com 指向 192.168.1.2 就行了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注