内部服务 TLS 证书的正确打开方式
TLS certificates for internal services done right

别再给内部服务配自签名证书了,那只会让客户端报错不断。我分享了一套利用 split-horizon DNS 和 WAF 的完美方案:通过 NetBird 实现 DNS 分流,让内部流量解析到内网 IP,外部流量解析到公网 IP。这样既能直接用 Let's Encrypt 签发受信任的证书,又能通过 nginx 绑定 VPN 接口实现访问控制。配合 acme.sh 自动续期,彻底告别 TLS 配置噩梦,让内部服务像公网服务一样安全流畅。
"安全就像洋葱和食人魔一样,需要层层防护。"