随着我的安全意识不断加强,在之前一段时间,我已经全面关闭了办公室网络的对外通道,只留下了企业级硬件的加密通道。
之后对家里的网络也进行了整理,除了堡垒机,就没有其他端口了。
但是有一些外网上的自动化容灾系统没办法安装这加密通道客户端,还是要给他们开放一个通道。想来想去,就还是用webdav吧。
但是要做好安全措施。
首先把域名转移到cloudflare,家庭网络路由器设置ddns。
在cloudflare里做cname解析并代理,开启完全严格加密模式。
在cloudflare里创建源服务器证书,保存证书和私钥。
把证书保存为pem文件,私钥保存为key文件。
下载cloudflare的根证书:
https://developers.cloudflare.com/ssl/static/origin_ca_rsa_root.pem
如果之前生成证书的时候用的是ECC那就要下载这个:
https://developers.cloudflare.com/ssl/static/origin_ca_ecc_root.pem
下载安装openssl。使用cmd访问到openssl安装文件的bin文件夹
把刚才的证书和私钥放在bin文件夹里(我只是为了方便,实际随便放哪里都可以)
cmd里用 openssl pkcs12 -export -out name.pfx -inkey name.key -in name.pem来合成iis使用的pfx文件,密码最好不要用特殊符号
win电脑的运行里输入mmc,这里就是导入证书之类的,网上很多教程就不说了
此外,还需要导入一下根证书。就是到在“受信任的根证书颁发机构”处导入之前下载的pem根证书文件
win的电脑安装iis这里网上很多教程就不说了
webdav绑定的时候使用之前安装的证书(15年有效期,爽歪歪),端口使用2096
路由器做端口转发
在cloudflare的规则栏目创建Origin Rules(源服务器规则),起个名字,自定义筛选表达式,字段选主机名,运算符选通配符,值就是你的特定域名后面加个*,目标端口写2096,然后保存
完美实现无端口的webdav
至于家庭网络里的宝塔,直接把cloudflare下载的证书和私钥输入进去,立马实现15年不用续期的ssl,爽歪歪。
























