我的情况是这样的:我有一个带有网页界面的基于网络的设备,而该设备的开发人员明智地没有为网页界面添加任何类型的访问控制或加密 - 即同一局域网上的任何人都可以指向他们的网页浏览器http://the.ip.address.of.this.device并立即开始以(可能不受欢迎的)方式控制它。
同时,我有一个客户想要部署此设备,以便他可以通过公共/不受信任的 WiFi 网络(例如,从其公司的访客 WiFi 网络)控制它。为了避免未经授权访问此设备,他(非常合理地)希望设备的 Web 界面使用 https/TLS 加密,并且他希望网页在授予访问权限之前要求输入密码。
鉴于我无法(轻松)更新此设备上的固件,我解决这个问题的想法是,不是将此设备直接放在 LAN 上,而是在 LAN 上放置一个前端代理设备,并将我的不安全设备仅连接到代理设备上的第二个以太网端口。然后,我可以在代理设备上运行某种 Web 代理软件,这样当客户端https通过 wifi 与代理设备建立经过身份验证的连接时,它会将该连接(作为未加密的http:连接)转发到不安全的设备。
这似乎是一个可行的(虽然不够优雅)解决方案;我的问题是,这种事情通常是怎么做的?即我需要设置自己的 Linux PC 并安装和配置TLS 终止代理软件还是有更简单的方法可以做到这一点?(我之所以问这个问题,是因为 Wiki 页面中列出的所有软件似乎都是为满足高容量业务需求而设计的,即数千个同时存在的客户端,而对于这种用例来说,这听起来可能有点小题大做,因为同时存在的客户端数量范围从零到可能两个,每个客户端只会执行非常轻量级的操作)