Remotely-Save插件内网MinIO HTTPS证书配置指南

在使用Remotely-Save插件连接内网MinIO服务时，HTTPS证书配置是确保数据安全传输的关键环节。本文将深入分析iOS设备访问内网MinIO服务时出现的证书无效问题，并提供专业解决方案。

问题本质分析

当在Windows系统成功配置MinIO HTTPS服务后，通过iOS设备访问时出现"证书无效"警告，这实际上是iOS设备对自签名证书的严格安全策略所致。与桌面系统不同，iOS不会自动信任用户自行安装的根证书。

技术背景

1. mkcert工具原理：该工具会在本地生成根证书并自动安装到系统信任库中，为指定域名/IP生成受信任的叶子证书。
2. 移动设备差异：iOS采用独立的安全机制，需要单独安装并显式信任根证书。

完整解决方案

第一步：生成证书

使用mkcert为内网IP生成证书：

mkcert 192.168.1.249

第二步：配置MinIO

将生成的证书和密钥配置到MinIO服务中，确保服务启用HTTPS。

第三步：iOS设备配置

1. 将根证书（rootCA.pem）转换为.mobileconfig格式
2. 通过邮件或网页方式发送到iOS设备
3. 在设置中安装描述文件
4. 进入"设置 > 通用 > 关于本机 > 证书信任设置"，启用对根证书的完全信任

替代方案建议

对于长期使用的内网环境，建议考虑以下方案：

1. 使用内网DNS服务为设备分配域名
2. 申请正规的SSL证书（如Let's Encrypt）
3. 使用Tailscale等内网穿透工具获取正规域名和证书

最佳实践

1. 生产环境避免直接使用IP地址作为证书主体
2. 定期更新证书（建议不超过90天）
3. 在团队协作环境中，统一管理根证书的分发和撤销

通过以上专业配置，可以确保Remotely-Save插件在iOS设备上安全稳定地访问内网MinIO服务，同时满足企业的安全合规要求。