برای شبکههای ایزوله - بدون دامنه عمومی، بدون اینترنت خروجی، اتصال محدود.
مرورگرها برای دوربین/میکروفون از طریق WebRTC به HTTPS مورد اعتماد نیاز دارند. self-signed certificates کار میکنند اما هشدار نشان میدهند. برای یک تنظیمات تمیز، یک CA خصوصی تولید کنید و آن را به کلاینتها توزیع کنید.
تولید CA خصوصی و گواهی سرور
مرورگرهای مدرن به Subject Alternative Names (SANs) در گواهیها نیاز دارند. نصبکننده به طور خودکار این کار را انجام میدهد.
گزینه ۱: استفاده از نصبکننده (توصیه میشود)
دستور bedrud install گواهیهای self-signed با SANهای مناسب برای IPها و دامنههای داده شده تولید میکند:
sudo bedrud install --tls --ip YOUR_SERVER_IPبرای شامل کردن نام دامنه نیز:
sudo bedrud install --tls --ip YOUR_SERVER_IP --domain your.domain.comگزینه ۲: تولید دستی گواهی
اگر تولید داخلی نصبکننده با گردش کار شما سازگار نیست، پرچمهای -addext را به دستورات openssl اضافه کنید:
#### Ed25519 (matches Bedrud's built-in generation, recommended)
```bash
openssl genpkey -algorithm ed25519 -out ca.key
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt \
-subj "/CN=Bedrud Internal CA"
openssl genpkey -algorithm ed25519 -out server.key
openssl req -new -key server.key -out server.csr \
-subj "/CN=<your-server-ip-or-hostname>" \
-addext "subjectAltName=IP:YOUR_SERVER_IP"
openssl x509 -req -days 1825 -in server.csr \
-CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt \
-addext "subjectAltName=IP:YOUR_SERVER_IP"
sudo ./bedrud install --tls --cert server.crt --key server.key --ip YOUR_SERVER_IPECDSA P256 (alternative)
openssl ecparam -genkey -name prime256v1 -out ca.key
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt \
-subj "/CN=Bedrud Internal CA"
openssl ecparam -genkey -name prime256v1 -out server.key
openssl req -new -key server.key -out server.csr \
-subj "/CN=<your-server-ip-or-hostname>" \
-addext "subjectAltName=IP:YOUR_SERVER_IP"
openssl x509 -req -days 1825 -in server.csr \
-CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt \
-addext "subjectAltName=IP:YOUR_SERVER_IP"
sudo ./bedrud install --tls --cert server.crt --key server.key --ip YOUR_SERVER_IPRSA (legacy compatibility, larger keys)
openssl genrsa -out ca.key 4096
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt \
-subj "/CN=Bedrud Internal CA"
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr \
-subj "/CN=<your-server-ip-or-hostname>" \
-addext "subjectAltName=IP:YOUR_SERVER_IP"
openssl x509 -req -days 365 -in server.csr \
-CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt \
-addext "subjectAltName=IP:YOUR_SERVER_IP"
sudo ./bedrud install --tls --cert server.crt --key server.key --ip YOUR_SERVER_IPافزودن CA به ذخیرههای اعتماد کلاینت
ca.crt را به تمام ماشینهای کلاینت توزیع کنید:
Windows
certmgr.msc # راستکلیک ca.crt → نصب گواهی → CAهای ریشه مورد اعتمادmacOS
sudo security add-trusted-cert -d -r trustRoot \
-k /Library/Keychains/System.keychain ca.crtLinux (Debian/Ubuntu)
sudo cp ca.crt /usr/local/share/ca-certificates/bedrud-ca.crt
sudo update-ca-certificatesLinux (Arch/Fedora)
sudo cp ca.crt /etc/pki/ca-trust/source/anchors/bedrud-ca.crt
sudo update-ca-trustمرورگرها را restart کنید، سپس https://YOUR_SERVER_IP را باز کنید (با آدرس IP واقعی سرور جایگزین کنید، مثلاً 192.168.1.100). پس از restart، گواهی مورد اعتماد خواهد بود و دسترسی به دوربین/میکروفون بدون هشدار کار خواهد کرد.
عیبیابی
| مشکل | رفع |
|---|---|
| مرورگر همچنان هشدار گواهی نامعتبر میدهد | کش مرورگر را پاک کنید، پس از نصب CA مرورگر را restart کنید |
| دوربین/میکروفون مسدود شده | تأیید کنید CA در CAهای ریشه مورد اعتماد است، نه واسطه |
| گواهی منقضی شده | برای بازتولید sudo bedrud cert renew را اجرا کنید (بازتولید خودکار هر ۲۴ ساعت در ۰۹:۰۰) |
| ناهماهنگی CN | مرورگرهای مدرن فیلد CN را نادیده میگیرند — SAN معتبر است. از تولید گواهی داخلی نصبکننده استفاده کنید (توصیه میشود) یا -addext 'subjectAltName=...' را به دستور openssl اضافه کنید |
| SANs گمشده | مرورگرهای مدرن فیلد CN را نادیده میگیرند. از تولید گواهی داخلی نصبکننده استفاده کنید (توصیه میشود) یا -addext 'subjectAltName=...' را به دستور openssl اضافه کنید |
مشاهده همچنین
- راهنمای نصب - روشهای نصب
- مرجع پیکربندی - گزینههای کامل پیکربندی