Tailscale共享节点HTTPS证书问题的分析与解决方案

在Tailscale网络中，当用户尝试通过共享节点访问内部服务时，可能会遇到HTTPS证书警告问题。本文将以一个典型场景为例，深入分析该问题的成因并提供解决方案。

问题现象

用户在使用Tailscale部署的SearXNG服务时发现：

1. 节点所有者可以正常访问searXNG-funnyname.ts.net域名
2. 当通过ACL将该节点共享给其他用户(如家庭成员)时
3. 共享用户访问时会收到浏览器"安全连接失败"警告

技术环境：

• 使用Proxmox虚拟化平台
• 通过Portainer管理容器
• 采用Tailscale文档推荐的TSDproxy方案
• 使用tag:container标签生成的认证密钥

根本原因分析

这个问题主要与Tailscale的证书签发机制有关：

1. Tailscale默认只为节点所有者签发HTTPS证书
2. 共享节点时，证书权限不会自动继承
3. 浏览器会验证证书的有效性，当发现证书与访问者身份不匹配时触发安全警告

解决方案

通过修改ACL规则可以解决此问题，具体配置如下：

// 允许所有共享用户访问带container标签的节点
"acls": [
    {
        "action": "accept",
        "src": ["autogroup:shared", "autogroup:tagged"],
        "dst": ["tag:container:*"],
    },
]

这个方案的工作原理：

1. autogroup:shared匹配所有被共享的用户
2. autogroup:tagged匹配所有带标签的资源
3. 组合使用这两个自动组，确保共享用户能正确访问带容器标签的节点

最佳实践建议

1. 标签规划：为不同类型的服务节点设计清晰的标签体系，如tag:web、tag:db等
2. 最小权限原则：精确控制共享范围，避免使用过于宽松的*:*规则
3. 证书管理：了解Tailscale证书的签发机制，必要时可考虑使用自定义证书
4. 测试验证：共享后应在不同客户端测试访问，确保功能正常

总结

Tailscale的共享节点功能非常强大，但需要注意证书管理的特殊性。通过合理配置ACL规则，特别是利用自动组(autogroup)功能，可以既保持安全性又解决证书问题。对于家庭共享等场景，这种方案既简单又有效。