
在 W55RP20(RP2040 + W5500)上,一颗芯片就跑起了 TLS 1.2 的 HTTPS 服务器——打开浏览器、点一下开发板的引脚图,就能实时控制 GPIO、PWM、ADC、I2C、SPI。没有云、没有网关、也没有配套 App。
项目原文:https://www.hackster.io/tjr0927/running-a-full-https-server-on-a-2-chip-rp2040-w5500-6930fb
一切始于一个简单的问题
做嵌入式设备的联网控制,常见路径是这样的:
设备 → 网关 → 云(MQTT/REST)→ 手机 App
链路一大堆中转,要开账号、要配置,而且一旦断网,你连放在自己桌上的板子都摸不到。
作者 Lihan 想砍掉整条链路,于是提出了一个问题:
在一颗本身就内置以太网的 2 美元芯片上,我能不能直接从浏览器戳这块板子——不走云、还要走 HTTPS?
目标很明确:让设备自己成为服务器,同一网络下的浏览器直接访问 https://<设备IP>/ 就能切换引脚。零数据外流,零外部服务依赖。麻烦也正是从"坚持要 HTTPS 而不是普通 HTTP"的那一刻开始的。
W55RP20是什么?
W55RP20 是 WIZnet 的一颗芯片,它把树莓派的 RP2040(双核 Arm Cortex-M0+,264 KB SRAM)和 WIZnet 的硬件化 TCP/IP 以太网控制器 W5500 封装进了一个 SiP 单封装里。

关键在 W5500。通常 MCU 做以太网要跑 lwIP 这类软件 TCP/IP 协议栈;而 W5500 直接用芯片内部的硬件逻辑处理 TCP/UDP/IP/以太网(硬件化 TCP/IP),MCU 只需通过 SPI 对 socket 读写数据即可。这让代码更简单,也省掉了软件协议栈会吃掉的 RAM 和算力——对这种 RAM 紧张的 TLS 任务来说尤为重要。
因为两者在同一颗芯片上,MCU + 以太网 + 安全 Web 服务器就此收敛成一个元件。这也是项目敢说"一颗约 2 美元芯片"的底气。
作者实际用的是 WIZnet 的评估板 W55RP20-EVB-Pico:把 W55RP20 做成树莓派 Pico 的形态,并加了 RJ45 网口——USB 烧录固件、插上网线,就上线了,不用再额外接以太网 PHY 或模块。

作者做出了什么?
一个跑在 W55RP20-EVB-Pico 上、带登录认证的 HTTPS 服务器。连上之后,板子的引脚图会以 SVG 画出来,点一个引脚就能选择它的用途。

- 交互式引脚图 UI:点击板图上的引脚 → 弹出配置面板。输入和 ADC 数值会自动轮询,所以这张引脚图同时也是一块实时状态显示屏。
- 每个引脚的外设功能:
数字输入(上拉/下拉)/ 输出(HIGH·LOW) PWM(频率 + 占空比) ADC(原始值 + 电压 + 条形图),GP26–28 I2C(总线扫描 / 寄存器读写) SPI(十六进制传输) 可控引脚:GP0–GP15、GP26–GP28 - 登录认证:密码以 SHA-256 哈希存储在 flash 中,会话 cookie(HttpOnly + Secure + SameSite),30 分钟超时,最多 5 个账号。

最难的部分:让TLS在2美元MCU上真正可用
把 mbedTLS 丢到 RP2040 上、随手写个 HTTPS 服务器——它能跑,但慢到没法用。
问题出在握手。浏览器默认会选 ECDHE-RSA 这类加密套件,而 RP2040 没有 EC(椭圆曲线)运算的硬件加速器,全靠软件算。结果一次握手要好几秒。每打开一个页面、每按一次引脚都要卡上几秒——这连演示都做不下去。
于是作者从三方面削减握手成本:
只用 Static-RSA 加密套件:把服务器可协商的套件限制在
TLS_RSA_WITH_AES_128_GCM_SHA256这一族。彻底把 EC 密钥交换排除在外,也就移除了最耗时的软件 EC 运算。HTTP keep-alive:即便如此,首次握手仍要约 2.2 秒——这基本就是 200 MHz 下软件 RSA-2048 的下限。所以首次连接付一次代价,之后复用这条连接。后续的每次页面加载、引脚切换、状态轮询都走同一条连接,不再重新握手,体感速度完全不同。
调优 TLS 记录缓冲区:三个 socket 同时在跑时 RAM 很紧。作者把 TLS 记录缓冲区设为 IN 2 KB / OUT 8 KB,让响应控制在几个记录之内,同时省下 RAM。
说白了:不是"MCU 上的 HTTPS 慢",而是"随手写的实现慢"。控制好协商、复用好连接,2 美元芯片也能跑出可用的 HTTPS。
实际体感是:第一次连接有约 2 秒的停顿(那是握手),之后页面切换、引脚操作都是秒响应。用户唯一能感觉到的"慢",就只有开头那一次。
作者的下一步:加一张 ECDSA P-256 证书,把首次握手从约 2.2 秒压到几百毫秒。
它是怎么工作的?
Browser ──HTTPS(443)──▶ mbedTLS handshake└─ session-cookie auth├─ GET / → board UI (HTML embedded in firmware)├─ GET /api/pins → pin-state JSON (polled)├─ POST /api/pin → set pin mode / value└─ POST /api/i2c|spi → bus transactions
网页本身写成一个普通的 board.html,再由 CMake 构建步骤把它转换成 C 字节数组(board_page.h)编进固件——也就是说,没有文件系统,网页本身就是固件的一部分。
固件跑在 FreeRTOS 上,由一个任务驱动 HTTPS 服务器,横跨三个 W5500 socket(最多三路并发连接)。
第一次登录


服务器按用途拆成了若干页面(路由)。刚烧录的板子里一个账号都没有,所以首次流程是这样的:
第一次访问板子( /)时没有账号,会被带到/setup(创建第一个账号)。
在这里你自己设定第一个管理员账号的 ID 和密码。 为防止任何人都能创建账号,你还要输入一个"创建密码"。Demo 默认是 w55rp20,正式使用必须修改(见下文安全部分)。账号建好后,在 /login用该 ID/密码登录,之后就在/控制板子。运行中增删账号在 /account进行(最多 5 个)。
你输入的密码会立即用 SHA-256 哈希并存进 flash,明文不会留在任何地方。
安全做到了什么程度
虽然是 demo,但作者不想让它停留在玩具级别,基本功都到位了:
密码绝不明文存储——以 SHA-256 哈希存于 flash; 会话 cookie 使用 HttpOnly + Secure + SameSite,30 分钟超时; 创建账号需要单独的"创建密码"(demo 默认 w55rp20)。要修改它,只需编辑httpsAuth.h里的字符串HTTPS_CREATION_PASSWORD后重新编译;它在运行时用 SHA-256 哈希,所以没有可被替换的预计算哈希。
⚠️ 作者也坦白:当前版本用的是自签名 demo 证书,所以浏览器首次访问会弹安全警告(这是预期内的)。私钥不会提交进仓库。正式使用需要自己生成并嵌入证书/密钥,方法在 cert_work/README.md 里。
⚠️ 这是一个开发中的项目,部分功能可能不完整或不稳定。作者表示不会就这样把它直接挂到公网上。
自己动手试试
这是一个 Raspberry Pi Pico SDK(CMake)项目:
git clone --recurse-submodules https://github.com/seok930927/W55RP20-Web-Board-Control.gitcd W55RP20-Web-Board-Controlcmake -B buildcmake --build build
把生成的 UF2/ELF 烧录到 W55RP20-EVB-Pico,接上以太网,在浏览器打开 https://<设备IP>/ 即可。

用到的东西
硬件
W55RP20-EVB-Pico(RP2040 + W5500 单 SiP) 以太网连接 任意你想驱动的 I2C / SPI 外设(可选)
软件 / 框架
Raspberry Pi Pico SDK(CMake) FreeRTOS mbedTLS(TLS 1.2) WIZnet ioLibrary
代码仓库:https://github.com/seok930927/W55RP20-Web-Board-Control (Apache-2.0)
这个项目能做什么?
由于它的本质是"在 W55RP20 上做一套安全 Web + 引脚控制"的基座,同一套骨架可以朝几个方向延伸:
- 传感器网关——不再控制引脚,而是读取温湿度/电流等传感器并通过 Web/网络推送出去(仓库里有工作草案 SENSOR_GATEWAY_WORK_PLAN.md)。
- SNMP agent——在同一块板子上加上 SNMP,标准 NMS(网管系统)就能直接监控这台设备(仓库含 SNMP_AGENT_WORK_PLAN.md 及一份 ioLibrary SNMP 补丁)。
- 工业远程 I/O 面板——通过内网浏览器,安全地(HTTPS + 登录)巡检和控制现场设备的数字/模拟 I/O。
- S2E 配置 Web UI——把串口转以太网转换器的设置,通过同一套安全 Web 界面暴露出来。
核心思路是:TLS 优化和认证骨架只做一次,上面叠什么都能直接复用。
写在最后
如果说这个项目说明了一件事,那就是:"完整的 HTTPS 服务器"不再是树莓派那类 Linux 板子的专利。哪怕是一颗集成了以太网的约 2 美元 MCU,只要做对几个决定——控制好协商、复用好连接——你就能得到一个可用、安全的 Web 界面,而且一行云代码都不用写。
下一步:用 ECDSA 证书缩短首次握手,并加入更多外设类型。
免责声明:本篇所发布的内容主要经 AI 整理、翻译国外技术网站与开源社区,版权归原作者所有,图片摘自原文,本文仅用于学习交流。如涉及侵权,请联系我们删除或更正。
项目原文(或点击“阅读原文”):
https://www.hackster.io/tjr0927/running-a-full-https-server-on-a-2-chip-rp2040-w5500-6930fb


点击阅读原文查看更多
夜雨聆风