SSL - заглушка для интернет провайдера
350 UAHДоброго времени суток. Коллеги прошу руки помощи. Пытаемся отправить на страницу оплаты всех абонентов у которых отрицательный остаток на балансе.
Схема следующая: есть биллинг который проверяет баланс и отправляет юзера в ipset дальше начинает работать цепочка iptables в который ми закрываем весь мир кроме нашых dns ну и самой страничке-заглушки. Дальше тем же iptables делаем редирект: все что идёт на порт 80 и 443 отправляем на заглушку порты 8083 и 8444 соответственно.
С 80 портом проблем нет. Начинаются танцы с 443. Что происходит: идет запрос к примеру на https://ubuntu.com приведенная выше схема отрабатывает нас кидает на заглушку но! Браузер начинает ругатся что ssl сертификат принадлежит нашей заглушке а не https://ubuntu.com, ты княпаешь «я понимаю риск» и вуаля ты на заглушке. Как вы понимаете ssl у нас куплен.
Хотелось бы осуществить переход на заглушку комфортным. То есть заменить запрашеваемый хост на доммен заглушки ну и ее ssl.
Пробывал сделать через rerurn 301,302 и через proxy_pass. Ничего не получается браузер ругается. Просим выполнить работу.
Відгук замовника про співпрацю з фрилансером
SSL - заглушка для интернет провайдераФрілансер взявся за проект і зник безвісти. На зв'язок взагалі не виходив. Роботу не виконував абсолютно, не зробив абсолютно нічого. На зв'язок кілька разів вийшов корміль сніданками. Потім назад зник, трубку не бере на повідомлення не відповідає. Терміни відкладені два дні тому. Можна чекати нету. Будемо шукати іншого виконавця.
-
Здравствуйте.
Ругань браузера на сертификат появляется при переходе изнутри вашей сети? Какую точно ошибку при установлении SSL показывает браузер в описанной схеме?
-
Вопрос снимается.
-
Насколько я понял вопрос, то средствами веб-сервера SSL запросы перенаправить невозможно. Относительно универсальный путь - делать это подделывая DNS-запросы и перенаправляя их на домен заглушки. Однако у него есть минус - если клиент пользуется собственными DNS-ами или у него есть DNScrypt этот способ работать не будет.
-
Собственные dns мы знаем как обойти. Вы все верно поняли и описали. Ошибка:
NET::ERR_CERT_COMMON_NAME_INVALID
-
Да, упустил из виду, что ваш сертфикат имет свой CN, отличающийся от такового в запросе. Похоже самый подходящий вариант - это прозрачный прокси, который перенаправляет трафик после установления SSL-соединения. Т.е. вам нужно что-то типа этого https://wiki.squid-cache.org/Features/SslPeekAndSplice
-
Скорее всего да. Других вариантов я тоже не вижу. Вы за это возьметесь?
-
Ответил вам в личку.
-
Я так понял, вы показываете свою загушку с адресом ubuntu.com, вот оно и ругается на несоответствие сертификата этому адресу. Надо, просто редиректить всех на заглушку с родным адресом заглушки, а не подменённым - иначе ругани на сертификат не избежать.
-
Нет я делаю 301 редирект на адрес заглушки, при переходе в адресной строке он меняется. Тут проблема в ssl
-
Баришівка