使用HTTP/2作为局域网内部通信机制的SSL证书问题

Question

我们正在运行服务器，每个进程运行多个进程，这些进程目前使用HTTP进行通信(每个客户端使用1-2个物理服务器，有多个客户端具有不同的服务器)。

服务器在每个客户端本地托管。

我们正在考虑将我们的nginx服务(它为静态文件(多个图像、视频)提供服务)迁移到HTTP/2，以便加快速度，因为一次请求1000个图像是非常常见的，这是HTTP/2最擅长的领域。

对于客户端，我们使用的是基于铬的(Electron)客户端。

出现了一个问题，在我们使用的铬版本中使用HTTP/2时，需要使用TLS证书。因为这是一个局域网，没有域名，甚至IP地址也不能保证是静态的。

注意:使用TLS只是一个额外的好处，我们的主要目标是从HTTP/2中获得延迟改进。

有办法绕道吗？

Answer 1

解决方案是为域颁发自签名证书，该证书被添加到所有受影响客户端的主机文件中。证书颁发机构在所有客户端计算机中被手动声明为受信任的。

对于更一般的解决方案，可以使用任何DNS解析选项，只要它对所有客户端都是一致的，以及任何签名的证书，而自签名则需要将CA文件手动添加到所有客户端。