SSL - заглушка для интернет провайдера
8 USDДоброго времени суток. Коллеги прошу руки помощи. Пытаемся отправить на страницу оплаты всех абонентов у которых отрицательный остаток на балансе.
Схема следующая: есть биллинг который проверяет баланс и отправляет юзера в ipset дальше начинает работать цепочка iptables в который ми закрываем весь мир кроме нашых dns ну и самой страничке-заглушки. Дальше тем же iptables делаем редирект: все что идёт на порт 80 и 443 отправляем на заглушку порты 8083 и 8444 соответственно.
С 80 портом проблем нет. Начинаются танцы с 443. Что происходит: идет запрос к примеру на https://ubuntu.com приведенная выше схема отрабатывает нас кидает на заглушку но! Браузер начинает ругатся что ssl сертификат принадлежит нашей заглушке а не https://ubuntu.com, ты княпаешь «я понимаю риск» и вуаля ты на заглушке. Как вы понимаете ssl у нас куплен.
Хотелось бы осуществить переход на заглушку комфортным. То есть заменить запрашеваемый хост на доммен заглушки ну и ее ssl.
Пробывал сделать через rerurn 301,302 и через proxy_pass. Ничего не получается браузер ругается. Просим выполнить работу.
Client's review of cooperation with freelancer
SSL - заглушка для интернет провайдераFreelancer took over the project and disappeared. I didn’t get in touch at all. He did not do anything, did not do anything absolutely. A couple of times I got a breakfast. Then back disappeared, the tube does not take to the message does not respond. The deadlines were delayed two days ago. I could wait for it. I’ll be looking for another artist.
-
Здравствуйте.
Ругань браузера на сертификат появляется при переходе изнутри вашей сети? Какую точно ошибку при установлении SSL показывает браузер в описанной схеме?
-
Вопрос снимается.
-
Насколько я понял вопрос, то средствами веб-сервера SSL запросы перенаправить невозможно. Относительно универсальный путь - делать это подделывая DNS-запросы и перенаправляя их на домен заглушки. Однако у него есть минус - если клиент пользуется собственными DNS-ами или у него есть DNScrypt этот способ работать не будет.
-
Собственные dns мы знаем как обойти. Вы все верно поняли и описали. Ошибка:
NET::ERR_CERT_COMMON_NAME_INVALID
-
Да, упустил из виду, что ваш сертфикат имет свой CN, отличающийся от такового в запросе. Похоже самый подходящий вариант - это прозрачный прокси, который перенаправляет трафик после установления SSL-соединения. Т.е. вам нужно что-то типа этого https://wiki.squid-cache.org/Features/SslPeekAndSplice
-
Скорее всего да. Других вариантов я тоже не вижу. Вы за это возьметесь?
-
Ответил вам в личку.
-
Я так понял, вы показываете свою загушку с адресом ubuntu.com, вот оно и ругается на несоответствие сертификата этому адресу. Надо, просто редиректить всех на заглушку с родным адресом заглушки, а не подменённым - иначе ругани на сертификат не избежать.
-
Нет я делаю 301 редирект на адрес заглушки, при переходе в адресной строке он меняется. Тут проблема в ssl
-
Baryshevka