使用mmw使用瓜瓜的mtls服务

客户端证书生成

1. 管瓜瓜要一个token
2. 访问瓜瓜的mmw: https://mmw.qri.moe/visit/index.html
3. 填入token和自定义打包密码
4. 点击生成证书, 会自动下载一个p12文件
5. 安装证书

如果你需要在多端使用证书, 请管瓜瓜要多个token, 而不是在多端传递证书

瓜瓜使用mtls的家宽服务

• 相册
  https://immich.qri.blue:58888/photos
• 知识库
  https://outline.qri.blue:58888/

关于安全性

这个秘钥由客户端生成, 并没有安装瓜瓜的ca证书, 所以就算是瓜瓜真的成为了你的网络中间人, 也不可能解密你的其他https的流量
使用的项目开源在github https://github.com/mmmaru/mmw

扩展: 浏览器自动选择证书

在使用浏览器访问需要mtls的链接时, 比如访问https://kuma.qri.blue:58888/, 浏览器会让你手动选取一个安装在系统上的客户端证书
这个手动选择证书的动作可以改为自动选取, 依靠这个Chrome Policy

在macos上, 你可以执行这样的命令 来设置访问瓜瓜服务的默认证书:

defaults write com.google.Chrome AutoSelectCertificateForUrls -array

# pattern: url匹配, 这里匹配瓜瓜mTLS服务的url
# filter: 用来选择系统上可使用的客户端证书, 这里指定了ISSUER的CN, 意思是指定了使用 颁发者是瓜瓜的证书
defaults write com.google.Chrome AutoSelectCertificateForUrls -array-add -string '{"pattern":"https://[*.]qri.blue:58888","filter":{"ISSUER":{"CN":"CuCA"}}}'