форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум WEB технологии (Apache, http-серверы)
Изначальное сообщение		[ Отслеживать ]

"HTTPS и сертификат"	+/–
Сообщение от Pry (ok) on 11-Сен-10, 10:24
Добрый день! Проблема нетривиальная. Делаю локальное зеркало репозитория для Fedora. Он задумывается как прозрачный, т.е. при обращении к mirrors.fedoraproject.org происходит заворот на локальный сервер на DNS сервере. Всё хорошо кроме одного, по умолчанию в Fedora для связи с репозиторием используется https. Естественно у меня самоподписанный сертификат, wget на клиенте ругается и чуда не происходит. Вопрос достаточно ламерский: можно ли как либо обойти эту проблему, т.е. сделать так, чтоб сервер либо устанавливал соединение не запрашивая сертификат (что ИМХО в принципе невозможно), либо чтобы устанавливал сертификат на клиенте автоматически. Я делал проброс на файерволе с 443 на 80 порт и добавлял в .htaccess следующие строки: Options +FollowSymlinks RewriteEngine on RewriteBase / RewriteCond %{SERVER_PORT} ^443$ [OR] RewriteCond %{HTTPS} on RewriteRule (.*) http://%{http_HOST}%{REQUEST_URI} [R=301,L] Но это не решило проблему, т.к. чтоб завернуть https на http нужно сначала установить соедиенение по https. Или я ошибаюсь? Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках репозиториев, но тогда пропадает весь эффект "прозрачности". Заранее благодарен и прошу прощения за вопросы, мои познания в Apache оставляют желать лучшего... :)
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "HTTPS и сертификат"	+/–
Сообщение от big (ok) on 11-Сен-10, 13:18
>[оверквотинг удален] >RewriteRule (.*) http://%{http_HOST}%{REQUEST_URI} [R=301,L] > >Но это не решило проблему, т.к. чтоб завернуть https на http нужно >сначала установить соедиенение по https. Или я ошибаюсь? > >Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках >репозиториев, но тогда пропадает весь эффект "прозрачности". > >Заранее благодарен и прошу прощения за вопросы, мои познания в Apache оставляют >желать лучшего... :) wget --no-check-certificate
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "HTTPS и сертификат"	+/–
	Сообщение от Pry (ok) on 12-Сен-10, 18:18
	Cпасибо за ответ, я знаю что wget --no-check-certificate делает своё дело. Но я написал: >Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках >репозиториев, но тогда пропадает весь эффект "прозрачности". Речь то шла про yum, wget я привёл для примера. Насколько я понимаю yum использует wget, ну или сам действует в данном случае абсолютно схожим образом. Как сделать так, чтоб клиент ПО УМОЛЧАНИЮ соединялся с сервером, безо всяких лишних телодвижений на клиенте, ибо как я уже написал выше, речь идёт о прозрачности. Косяк именно в https.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "HTTPS и сертификат"	+/–
	Сообщение от Кирилл_Н (ok) on 13-Сен-10, 11:19
	>[оверквотинг удален] > >>Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках >>репозиториев, но тогда пропадает весь эффект "прозрачности". > >Речь то шла про yum, wget я привёл для примера. Насколько я >понимаю yum использует wget, ну или сам действует в данном случае >абсолютно схожим образом. Как сделать так, чтоб клиент ПО УМОЛЧАНИЮ соединялся >с сервером, безо всяких лишних телодвижений на клиенте, ибо как я >уже написал выше, речь идёт о прозрачности. Косяк именно в https. > При соединении по https сначала устанавливается шифрованное соединение с адресом, который вернул днс, а уже потом идёт запрос хттп. т.е. редиректы работают уже после того как произошла проверка сертификатов.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "HTTPS и сертификат"	+/–
	Сообщение от Pry (ok) on 13-Сен-10, 11:42
	Собственно я так и думал. Но неужели ничего нельзя сделать? Это-ж Linux... Вообще, почему собственно вылезает предупреждение в браузере (отказывается качать wget)? Это так всегда в случае с самоподписанными сертификатами и ничего не изменить?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "HTTPS и сертификат"	+/–
	Сообщение от Andrew (??) on 08-Окт-10, 16:53
	> Собственно я так и думал. Но неужели ничего нельзя сделать? Это-ж Linux... > Вообще, почему собственно вылезает предупреждение в браузере (отказывается качать wget)? > Это так всегда в случае с самоподписанными сертификатами и ничего не > изменить? Для того чтобы у клиента не появлялось сообщение о самоподписанном сертефекате можете либо купить сертефикат, либо заказать бесплатный (кажется срок действия 90 дней)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "HTTPS и сертификат"	+/–
Сообщение от Andrey Mitrofanov on 11-Окт-10, 10:50
> сервер на DNS сервере. Всё хорошо кроме одного, по умолчанию в > Fedora для связи с репозиторием используется https. А каков сакральный смысл этого? Зачем "прятать" соединение, по которому и так передаётся то, что доступно всем и каждому? Я понимаю применение цифровой подписи _архива/репо для подтверждения подлинности, но это совсем не про https... вроде ж? Обычно (да, например, в одном другом известном дистрибутиве) подписываются списки пакетов дистрибутив с хешами пакетов внутири. Ну, может быть, отдельные пакеты...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема