V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
qq316107934
V2EX  ›  NGINX

内网 HTTPS 反代的 SSL 证书问题

  •  
  •   qq316107934 · 2016-03-23 08:45:17 +08:00 · 8499 次点击
    这是一个创建于 3168 天前的主题,其中的信息可能已经有所发展或是发生改变。
    想做一个 https 反代替换 coursera 视频地址,为 coursera 加速,但使用发现被浏览器拦截了。
    请问在哪里能申请到内网 ip 的 SSL 证书啊,市面上的 SSL 证书大多数都是需要域名认证的,自己 gen 的会被提示不可信证书,好无奈。
    大家有没有什么好的办法。
    20 条回复    2016-03-23 11:02:44 +08:00
    4679kun
        1
    4679kun  
       2016-03-23 08:48:40 +08:00
    估计没有
    imxieke
        2
    imxieke  
       2016-03-23 09:17:07 +08:00 via iPhone
    自签呗 内网不怕。
    clino
        3
    clino  
       2016-03-23 09:20:18 +08:00   ❤️ 1
    你先用域名在外网申请 申请完转成内网来用这是一个办法哈
    cloverstd
        4
    cloverstd  
       2016-03-23 09:23:03 +08:00
    如果自用可以自己签证书,然后导入浏览器吧?
    raptor
        5
    raptor  
       2016-03-23 09:29:44 +08:00   ❤️ 1
    内网自建一个 DNS ,把域名解析成内网地址。更简单的办法就是用 hosts
    alect
        6
    alect  
       2016-03-23 09:30:25 +08:00
    如果只是内部使用的话,自签然后加入信任列表也很方便
    linescape
        7
    linescape  
       2016-03-23 09:30:59 +08:00   ❤️ 2
    sni proxy
    xuboying
        8
    xuboying  
       2016-03-23 09:32:24 +08:00 via Android
    插个楼问下自签证书能否只允许验证一个域名,而不是像 12306 那样发根证书,前者比较能让人接受
    qq316107934
        9
    qq316107934  
    OP
       2016-03-23 09:33:12 +08:00
    @imxieke @cloverstd 需要给内网的其他人用,看来要给他们提供证书了-_-
    qq316107934
        10
    qq316107934  
    OP
       2016-03-23 09:34:16 +08:00
    @clino 域名对不上会报错,除非是根证书。
    qq316107934
        11
    qq316107934  
    OP
       2016-03-23 09:36:36 +08:00
    @clino 刚刚理解错啦,是个好办法!自建个 DNS 把自己的域名解析到内网就行了~ @raptor 同感谢
    pinruannet
        12
    pinruannet  
       2016-03-23 09:37:02 +08:00   ❤️ 1
    自建 DNS ,这个又不复杂
    qq316107934
        13
    qq316107934  
    OP
       2016-03-23 09:40:26 +08:00
    @linescape 看了下介绍能使用 https 的原始证书,感觉这个是最佳解决方案。
    avrillavigne
        14
    avrillavigne  
       2016-03-23 09:45:46 +08:00
    内部有 DNS 服务器吗,可以为内部服务器添加解析。
    imxieke
        15
    imxieke  
       2016-03-23 09:49:33 +08:00 via iPhone   ❤️ 1
    @qq316107934 那你可以直接申请配置到 内网啊 我学校好多站都是这样 可能是我没明白你的意思( ¯ᒡ̱¯ )و
    clino
        16
    clino  
       2016-03-23 09:57:10 +08:00   ❤️ 1
    @qq316107934 自建 dns 是一个办法,对于那种需要在内网解析成内网 ip 外网访问需要解析成外网 ip 的 可以这样去做
    如果你没这种需求,你直接把域名解析改成内网 ip 就行了
    qq316107934
        17
    qq316107934  
    OP
       2016-03-23 09:57:51 +08:00
    @pinruannet @avrillavigne @raptor 目前实现的原理是让他们改 dns ,把 coursera 的视频服务器( cloudfront )解析到我的 nginx 服务器转到本地服务器,然后用 flask 处理 url ,返回对应本地视频文件。但在反代的时候我没有 coursera 的服务器的证书 ,浏览器就直接拦截下来了(因为这时候域名还是 cloudfront ),在这一步连跳转到我的域名都做不到,就算我能本地解析我的域名也没用啊。感觉这个方法是错的,或者是说我理解有问题? 求教。
    qq316107934
        18
    qq316107934  
    OP
       2016-03-23 10:01:21 +08:00
    @imxieke @clino 可能是我表述有问题,见上楼≡ ̄﹏ ̄≡,主要是用来替换掉 coursera 的内嵌的 mp4 视频地址实现加速的,不能直接替换掉整个站点,我们学校 coursera 的连通性不太好
    RqPS6rhmP3Nyn3Tm
        19
    RqPS6rhmP3Nyn3Tm  
       2016-03-23 10:50:52 +08:00
    3dwelcome
        20
    3dwelcome  
       2016-03-23 11:02:44 +08:00
    整那么复杂,你写一个服务器程序,把所有 cloudfront 的 HTTPS 内容,全部反代成非加密的 HTTP ,你同学直接用 80 端口访问你服务器,完全不需要认证证书。

    想怎么改就怎么改。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2754 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:16 · PVG 16:16 · LAX 00:16 · JFK 03:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.