Здравствуйте.
Возможно ли запустить DoH сервер в локальной сети?
На примере DNS сервера
dnsproxy от AdguardTeam
Я сгенерировал сомоподписной сертификат
openssl req -x509 -newkey rsa:2048 -keyout example.key -out example.crt -days 365 -nodes -subj "/CN=dnsproxy.local" -addext "subjectAltName=DNS:dnsproxy.local,IP:192.168.1.5"
Запустил
./dnsproxy -l 192.168.1.5 --https-port=443 --tls-crt=key2/example.crt --tls-key=key2/example.key --insecure -u 1.1.1.1:53 -p 0
Но
dns клиент говорит, что "certificate signed by unknown authority"
# q -v google.com @https://192.168.1.5
DEBU[0000] Name: google.com
DEBU[0000] RR types: [A AAAA NS MX TXT CNAME]
DEBU[0000] Server(s): [https://192.168.1.5]
WARN[0000] TLS secret logging enabled
DEBU[0000] Using server https://192.168.1.5:443/dns-query with transport http
DEBU[0000] Using HTTP(s) transport: https://192.168.1.5:443/dns-query
DEBU[0000] [http] sending GET request to https://192.168.1.5:443/dns-query?dns=OVMBAAABAAAAAAAABmdvb2dsZQNjb20AABAAAQ
FATA[0000] requesting https://192.168.1.5:443/dns-query?dns=OVMBAAABAAAAAAAABmdvb2dsZQNjb20AABAAAQ: Get "https://192.168.1.5:443/dns-query?dns=OVMBAAABAAAAAAAABmdvb2dsZQNjb20AABAAAQ": tls: failed to verify certificate: x509: certificate signed by unknown authority
Я так понял, что просто так не получится запустить локальный DNS DoH сервер.
1) Нужно создавать свой локальный центр сертификации,
2) от него выпускать сертификат
3) и добавлять этот центр сертификации в систему или в браузер, где планируется использовать днс клиент.
Я правильно понял, или есть ещё решения?
Сложный
Средний
