前置条件
- 已订阅 TLS 终止插件(参见 集成中心)
- 已添加自有域名并完成 CNAME 验证(TLS 隧道必须使用自有域名,不支持随机域名)
TLS 终止模式
内网客户端终止:ZeroNews Client 会在内网读取您提供的证书路径和私钥路径完成 TLS 握手,解密后的流量再转发给本地上游服务。证书内容不会上传到平台。 上游服务终止:ZeroNews Client 不会读取任何证书,也不会终止 TLS。公网进入的 TLS 流量会以原始字节流形式转发到您配置的本地 HTTPS 服务,由您的上游服务自行完成握手和解密。操作步骤
1. 进入隧道管理
进入 控制台 → 隧道管理,点击 添加隧道。2. 配置隧道基本信息
- 隧道模式:选择标准隧道
- 隧道特性:选择 Raw
- 隧道协议:选择 TLS
- 公网地址:选择已添加的自有域名
3. 配置内网服务
- 绑定设备:选择运行客户端的本地机器
- 内网 IP:填写内网服务 IP(如
127.0.0.1) - 内网端口:填写本地服务的端口(如
80、8080)
4. 选择终止位置(TLS 协议配置)
模式一:内网客户端终止
公网 TLS 加密流量到达本地客户端后,由客户端在本地读取证书完成解密,再将解密后的流量转发给本地上游服务。证书内容不会上传到 ZeroNews 云端。- 选择 内网客户端终止 模式
- 证书路径:输入 ZeroNews Client 本机可访问的证书文件路径,例如
/etc/zeronews/certs/fullchain.pem - 私钥路径:输入与证书匹配的私钥文件路径,例如
/etc/zeronews/certs/privkey.pem - 点击 确认,启动客户端确保状态为在线
模式二:上游服务终止
ZeroNews 客户端不会读取任何证书,也不参与解密。公网 TLS 加密流量以原始字节流形式原封不动地透传给本地后端服务,由后端自行完成解密。- 选择 上游服务终止 模式(无需输入证书与私钥路径)
- 点击 确认,启动客户端确保状态为在线
若自有域名已创建 HTTPS 协议隧道(443 端口),则无法再为该域名创建 TLS 隧道,存在端口冲突。