SSL - заглушка для интернет провайдера
29 PLNДоброго времени суток. Коллеги прошу руки помощи. Пытаемся отправить на страницу оплаты всех абонентов у которых отрицательный остаток на балансе.
Схема следующая: есть биллинг который проверяет баланс и отправляет юзера в ipset дальше начинает работать цепочка iptables в который ми закрываем весь мир кроме нашых dns ну и самой страничке-заглушки. Дальше тем же iptables делаем редирект: все что идёт на порт 80 и 443 отправляем на заглушку порты 8083 и 8444 соответственно.
С 80 портом проблем нет. Начинаются танцы с 443. Что происходит: идет запрос к примеру на https://ubuntu.com приведенная выше схема отрабатывает нас кидает на заглушку но! Браузер начинает ругатся что ssl сертификат принадлежит нашей заглушке а не https://ubuntu.com, ты княпаешь «я понимаю риск» и вуаля ты на заглушке. Как вы понимаете ssl у нас куплен.
Хотелось бы осуществить переход на заглушку комфортным. То есть заменить запрашеваемый хост на доммен заглушки ну и ее ssl.
Пробывал сделать через rerurn 301,302 и через proxy_pass. Ничего не получается браузер ругается. Просим выполнить работу.
Opinia zleceniodawcy o współpracy z freelancerem
SSL - заглушка для интернет провайдераFreelancer wziął za projekt i zniknął bez wiadomości. Na kontakt wcale nie wyszło. Nie wykonał absolutnie nic, nie wykonał absolutnie nic. Na rozmowę kilka razy wyjechałem na śniadanie. Następnie zniknął, rurociąg nie bierze na wiadomości nie odpowiada. Terminy zostały opóźnione dwa dni temu. Nie mogłem czekać. Szukam innego wykonawcy.
-
Здравствуйте.
Ругань браузера на сертификат появляется при переходе изнутри вашей сети? Какую точно ошибку при установлении SSL показывает браузер в описанной схеме?
-
Вопрос снимается.
-
Насколько я понял вопрос, то средствами веб-сервера SSL запросы перенаправить невозможно. Относительно универсальный путь - делать это подделывая DNS-запросы и перенаправляя их на домен заглушки. Однако у него есть минус - если клиент пользуется собственными DNS-ами или у него есть DNScrypt этот способ работать не будет.
-
Собственные dns мы знаем как обойти. Вы все верно поняли и описали. Ошибка:
NET::ERR_CERT_COMMON_NAME_INVALID
-
Да, упустил из виду, что ваш сертфикат имет свой CN, отличающийся от такового в запросе. Похоже самый подходящий вариант - это прозрачный прокси, который перенаправляет трафик после установления SSL-соединения. Т.е. вам нужно что-то типа этого https://wiki.squid-cache.org/Features/SslPeekAndSplice
-
Скорее всего да. Других вариантов я тоже не вижу. Вы за это возьметесь?
-
Ответил вам в личку.
-
Я так понял, вы показываете свою загушку с адресом ubuntu.com, вот оно и ругается на несоответствие сертификата этому адресу. Надо, просто редиректить всех на заглушку с родным адресом заглушки, а не подменённым - иначе ругани на сертификат не избежать.
-
Нет я делаю 301 редирект на адрес заглушки, при переходе в адресной строке он меняется. Тут проблема в ssl
-
Baryszewka