主要观点:作者利用 Tailscale 的内置证书来保障本地服务的安全,后为未提供真实认证的服务(如 Gollum)使用 Mutual TLS(mTLS),并详细介绍了在 macOS 和 Linux 上生成客户端证书、在浏览器中导入证书以及在服务器上设置 mTLS 的步骤,还通过 curl 进行了测试,最后提醒客户端证书会过期需定期重复操作。
关键信息:
- 在 macOS 上通过特定脚本生成客户端证书及 PKCS#12 包,在 Linux 可直接用
tailscale cert
命令生成并生成包。 - 在 Firefox 中导入证书的步骤。
- 使用
ghostunnel
在服务器上设置 mTLS,可自动应用规则集限制访问设备。 - 通过
curl
进行测试,成功后在浏览器中使用新安装的客户端证书进行认证。
重要细节: - macOS 上生成证书的脚本中,通过
Tailscale
命令获取 FQDN,生成证书和 PKCS#12 包,需设置密码,生成后可打开包含证书的文件夹进行导入。 ghostunnel
的 Docker 运行命令中,指定了监听端口、目标服务器、证书和密钥路径等,还设置了允许的客户端证书 CN。curl
测试时需指定客户端证书的密钥和证书文件路径,访问服务器地址。- 客户端证书会过期需定期重复操作。最后推荐了作者的 podcast 及纠错方式。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。