URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 6987
[ Назад ]

Исходное сообщение
"HTTPS и сертификат"

Отправлено Pry , 11-Сен-10 10:24 
Добрый день!
Проблема нетривиальная. Делаю локальное зеркало репозитория для Fedora. Он задумывается как прозрачный, т.е. при обращении к mirrors.fedoraproject.org происходит заворот на локальный сервер на DNS сервере. Всё хорошо кроме одного, по умолчанию в Fedora для связи с репозиторием используется https. Естественно у меня самоподписанный сертификат, wget на клиенте ругается и чуда не происходит.

Вопрос достаточно ламерский: можно ли как либо обойти эту проблему, т.е. сделать так, чтоб сервер либо устанавливал соединение не запрашивая сертификат (что ИМХО в принципе невозможно), либо чтобы устанавливал сертификат на клиенте автоматически.

Я делал проброс на файерволе с 443 на 80 порт и добавлял в .htaccess следующие строки:

Options +FollowSymlinks
RewriteEngine on
RewriteBase /
RewriteCond %{SERVER_PORT} ^443$ [OR]
RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{http_HOST}%{REQUEST_URI} [R=301,L]

Но это не решило проблему, т.к. чтоб завернуть https на http нужно сначала установить соедиенение по https. Или я ошибаюсь?

Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках репозиториев, но тогда пропадает весь эффект "прозрачности".

Заранее благодарен и прошу прощения за вопросы, мои познания в Apache оставляют желать лучшего... :)


Содержание

Сообщения в этом обсуждении
"HTTPS и сертификат"
Отправлено big , 11-Сен-10 13:18 
>[оверквотинг удален]
>RewriteRule (.*) http://%{http_HOST}%{REQUEST_URI} [R=301,L]
>
>Но это не решило проблему, т.к. чтоб завернуть https на http нужно
>сначала установить соедиенение по https. Или я ошибаюсь?
>
>Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках
>репозиториев, но тогда пропадает весь эффект "прозрачности".
>
>Заранее благодарен и прошу прощения за вопросы, мои познания в Apache оставляют
>желать лучшего... :)

wget --no-check-certificate


"HTTPS и сертификат"
Отправлено Pry , 12-Сен-10 18:18 
Cпасибо за ответ, я знаю что wget --no-check-certificate делает своё дело. Но я написал:

>Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках
>репозиториев, но тогда пропадает весь эффект "прозрачности".

Речь то шла про yum, wget я привёл для примера. Насколько я понимаю yum использует wget, ну или сам действует в данном случае абсолютно схожим образом. Как сделать так, чтоб клиент ПО УМОЛЧАНИЮ соединялся с сервером, безо всяких лишних телодвижений на клиенте, ибо как я уже написал выше, речь идёт о прозрачности. Косяк именно в https.


"HTTPS и сертификат"
Отправлено Кирилл_Н , 13-Сен-10 11:19 
>[оверквотинг удален]
>
>>Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках
>>репозиториев, но тогда пропадает весь эффект "прозрачности".
>
>Речь то шла про yum, wget я привёл для примера. Насколько я
>понимаю yum использует wget, ну или сам действует в данном случае
>абсолютно схожим образом. Как сделать так, чтоб клиент ПО УМОЛЧАНИЮ соединялся
>с сервером, безо всяких лишних телодвижений на клиенте, ибо как я
>уже написал выше, речь идёт о прозрачности. Косяк именно в https.
>

При соединении по https сначала устанавливается шифрованное соединение с адресом, который вернул днс, а уже потом идёт запрос хттп. т.е. редиректы работают уже после того как произошла проверка сертификатов.


"HTTPS и сертификат"
Отправлено Pry , 13-Сен-10 11:42 
Собственно я так и думал. Но неужели ничего нельзя сделать? Это-ж Linux...

Вообще, почему собственно вылезает предупреждение в браузере (отказывается качать wget)? Это так всегда в случае с самоподписанными сертификатами и ничего не изменить?


"HTTPS и сертификат"
Отправлено Andrew , 08-Окт-10 16:53 
> Собственно я так и думал. Но неужели ничего нельзя сделать? Это-ж Linux...
> Вообще, почему собственно вылезает предупреждение в браузере (отказывается качать wget)?
> Это так всегда в случае с самоподписанными сертификатами и ничего не
> изменить?

Для того чтобы у клиента не появлялось сообщение о самоподписанном сертефекате можете либо купить сертефикат, либо заказать бесплатный (кажется срок действия 90 дней)


"HTTPS и сертификат"
Отправлено Andrey Mitrofanov , 11-Окт-10 10:50 
> сервер на DNS сервере. Всё хорошо кроме одного, по умолчанию в
> Fedora для связи с репозиторием используется https.

А каков сакральный смысл этого? Зачем "прятать" соединение, по которому и так передаётся то, что доступно всем и каждому?

Я понимаю применение цифровой подписи _архива/репо для подтверждения подлинности, но это совсем не про https... вроде ж? Обычно (да, например, в одном другом известном дистрибутиве) подписываются списки пакетов дистрибутив с хешами пакетов внутири. Ну, может быть, отдельные пакеты...