[GH-ISSUE #491] [Bug] 雷池部署的问题、改良以及临时解决方案 #310

New issue

Closed

opened 2026-03-03 01:02:23 +03:00 by kerem · 2 comments

kerem commented

2026-03-03 01:02:23 +03:00

Owner

Originally created by @kakou-2 on GitHub (Mar 7, 2025).
Original GitHub issue: https://github.com/certimate-go/certimate/issues/491

Originally assigned to: @fudiwei on GitHub.

描述问题
雷池部署内网环境报错。

具体说明
1.雷池默认部署协议是https，通过内网IP部署会报错（failed to execute sdk request 'safeline.UpdateCertificate': safeline api error: failed to send request: Post "https://192.168.1.10:9443/api/open/cert": tls: failed to verify certificate: x509: cannot validate certificate for 192.168.1.10 because it doesn't contain any IP SANs）【通过其他工具调用内网https地址api更新正常的】
2.如把雷池内网的url修改为http协议，则报错：failed to execute sdk request 'safeline.UpdateCertificate': safeline api error: failed to parse response: invalid character '<' looking for beginning of valu
3.如雷池公网域名通过雷池自身反代公布，可以尝试通过公网部署，但需要关闭雷池防护页面默认的身份验证且设置白名单才能成功（新版中白名单只放行CC防护和bot防护。不会放行身份验证）。
期望的结果
简要描述你期望发生的事情。

可选的临时解决方案
1.通过公网域名部署，在Certimate的雷池配置中设置雷池的公网域名;
2.关闭雷池页面的身份验证功能（cc防护和bot防御可以保持开启，通过全局白名单放行）;
3.在自定义规则新增身份验证规则，设置复核条件：条件1匹配目标应用等于safeline，【and】，条件2匹配目标源ip不属于网段192.168.0.0/16（如雷池和Certimate同局域网部署，则填写内网网段。如跨地部署填写Certimate所在公网ip/网段）。
4.本方案在确保safeline身份验证功能

其他改良需求
1.部署页面中，增加证书ID获取指引（这个雷池页面直接显示）。
2.或者雷池的授权管理界面，增加雷池cert查询功能。通过api/open/cert接口get一下，展示雷池的cert列表，以供用户选择

环境

操作系统: win10；雷池和cert同服务器不同docker
浏览器: chrome

Originally created by @kakou-2 on GitHub (Mar 7, 2025). Original GitHub issue: https://github.com/certimate-go/certimate/issues/491 Originally assigned to: @fudiwei on GitHub. **描述问题** 雷池部署内网环境报错。 **具体说明** 1.雷池默认部署协议是https，通过内网IP部署会报错（failed to execute sdk request 'safeline.UpdateCertificate': safeline api error: failed to send request: Post "https://192.168.1.10:9443/api/open/cert": tls: failed to verify certificate: x509: cannot validate certificate for 192.168.1.10 because it doesn't contain any IP SANs）【通过其他工具调用内网https地址api更新正常的】 2.如把雷池内网的url修改为http协议，则报错：failed to execute sdk request 'safeline.UpdateCertificate': safeline api error: failed to parse response: invalid character '<' looking for beginning of valu 3.如雷池公网域名通过雷池自身反代公布，可以尝试通过公网部署，但需要关闭雷池防护页面默认的身份验证且设置白名单才能成功（新版中白名单只放行CC防护和bot防护。不会放行身份验证）。 **期望的结果** 简要描述你期望发生的事情。 **可选的临时解决方案** 1.通过公网域名部署，在Certimate的雷池配置中设置雷池的公网域名; 2.关闭雷池页面的身份验证功能（cc防护和bot防御可以保持开启，通过全局白名单放行）; 3.在自定义规则新增身份验证规则，设置复核条件：条件1匹配目标应用等于safeline，【and】，条件2匹配目标源ip不属于网段192.168.0.0/16（如雷池和Certimate同局域网部署，则填写内网网段。如跨地部署填写Certimate所在公网ip/网段）。 4.本方案在确保safeline身份验证功能 **其他改良需求** 1.部署页面中，增加证书ID获取指引（这个雷池页面直接显示）。 2.或者雷池的授权管理界面，增加雷池cert查询功能。通过api/open/cert接口get一下，展示雷池的cert列表，以供用户选择 **环境** - 操作系统: win10；雷池和cert同服务器不同docker - 浏览器: chrome

kerem

2026-03-03 01:02:23 +03:00

closed this issue
added the
bug
label

kerem commented

2026-03-03 01:02:24 +03:00

Author

Owner

@kakou-2 commented on GitHub (Mar 7, 2025):

1个ddns技巧:
运营商分配的动态公网ip的前两段地址一般是不变的。所以授权ip段如27.157.0.0/16，基本上可以确保可以触发白名单。

@kakou-2 commented on GitHub (Mar 7, 2025): 1个ddns技巧: 运营商分配的动态公网ip的前两段地址一般是不变的。所以授权ip段如27.157.0.0/16，基本上可以确保可以触发白名单。

kerem commented

2026-03-03 01:02:24 +03:00

Author

Owner

@fudiwei commented on GitHub (Mar 9, 2025):

v0.3.1 支持配置忽略雷池证书错误。

@fudiwei commented on GitHub (Mar 9, 2025): v0.3.1 支持配置忽略雷池证书错误。 ![Image](https://github.com/user-attachments/assets/f3127394-193c-466b-b9b5-5244c10dfbcf)