https://opennet.ru/openforum/vsluhforumID8/6987.html Добрый день!<br>Проблема нетривиальная. Делаю локальное зеркало репозитория для Fedora. Он задумывается как прозрачный, т.е. при обращении к mirrors.fedoraproject.org происходит заворот на локальный сервер на DNS сервере. Всё хорошо кроме одного, по умолчанию в Fedora для связи с репозиторием используется https. Естественно у меня самоподписанный сертификат, wget на клиенте ругается и чуда не происходит.<br><br>Вопрос достаточно ламерский: можно ли как либо обойти эту проблему, т.е. сделать так, чтоб сервер либо устанавливал соединение не запрашивая сертификат (что ИМХО в принципе невозможно), либо чтобы устанавливал сертификат на клиенте автоматически.<br><br>Я делал проброс на файерволе с 443 на 80 порт и добавлял в .htaccess следующие строки:<br><br>Options +FollowSymlinks<br>RewriteEngine on<br>RewriteBase /<br>RewriteCond %{SERVER_PORT} ^443$ [OR]<br>RewriteCond %{HTTPS} on<br>RewriteRule (.*) http://%{http_HOST}%{REQUEST_URI} [R=301,L]<br><br>Но это не решило проблему, т.к. чтоб завернуть https на http нужно сначала установить сое https://opennet.ru/openforum/vsluhforumID8/6987.html#6 Mon, 11 Oct 2010 06:50:57 GMT &gt; сервер на DNS сервере. Всё хорошо кроме одного, по умолчанию в<br>&gt; Fedora для связи с репозиторием используется https.<br><br>А каков сакральный смысл этого? Зачем "прятать" соединение, по которому и так передаётся то, что доступно всем и каждому?<br><br>Я понимаю применение цифровой подписи _архива/репо для подтверждения подлинности, но это совсем не про https... вроде ж? Обычно (да, например, в одном другом известном дистрибутиве) подписываются списки пакетов дистрибутив с хешами пакетов внутири. Ну, может быть, отдельные пакеты...<br> https://opennet.ru/openforum/vsluhforumID8/6987.html#5 Fri, 08 Oct 2010 12:53:07 GMT &gt; Собственно я так и думал. Но неужели ничего нельзя сделать? Это-ж Linux...<br>&gt; Вообще, почему собственно вылезает предупреждение в браузере (отказывается качать wget)?<br>&gt; Это так всегда в случае с самоподписанными сертификатами и ничего не<br>&gt; изменить?<br><br>Для того чтобы у клиента не появлялось сообщение о самоподписанном сертефекате можете либо купить сертефикат, либо заказать бесплатный (кажется срок действия 90 дней)<br> https://opennet.ru/openforum/vsluhforumID8/6987.html#4 Mon, 13 Sep 2010 07:42:38 GMT Собственно я так и думал. Но неужели ничего нельзя сделать? Это-ж Linux...<br><br>Вообще, почему собственно вылезает предупреждение в браузере (отказывается качать wget)? Это так всегда в случае с самоподписанными сертификатами и ничего не изменить?<br><br> https://opennet.ru/openforum/vsluhforumID8/6987.html#3 Mon, 13 Sep 2010 07:19:47 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;&gt;Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках<br>&gt;&gt;репозиториев, но тогда пропадает весь эффект "прозрачности". <br>&gt;<br>&gt;Речь то шла про yum, wget я привёл для примера. Насколько я <br>&gt;понимаю yum использует wget, ну или сам действует в данном случае <br>&gt;абсолютно схожим образом. Как сделать так, чтоб клиент ПО УМОЛЧАНИЮ соединялся <br>&gt;с сервером, безо всяких лишних телодвижений на клиенте, ибо как я <br>&gt;уже написал выше, речь идёт о прозрачности. Косяк именно в https. <br>&gt;<br><br>При соединении по https сначала устанавливается шифрованное соединение с адресом, который вернул днс, а уже потом идёт запрос хттп. т.е. редиректы работают уже после того как произошла проверка сертификатов.<br> https://opennet.ru/openforum/vsluhforumID8/6987.html#2 Sun, 12 Sep 2010 14:18:33 GMT Cпасибо за ответ, я знаю что wget --no-check-certificate делает своё дело. Но я написал:<br><br>&gt;Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках<br>&gt;репозиториев, но тогда пропадает весь эффект "прозрачности". <br><br>Речь то шла про yum, wget я привёл для примера. Насколько я понимаю yum использует wget, ну или сам действует в данном случае абсолютно схожим образом. Как сделать так, чтоб клиент ПО УМОЛЧАНИЮ соединялся с сервером, безо всяких лишних телодвижений на клиенте, ибо как я уже написал выше, речь идёт о прозрачности. Косяк именно в https.<br> https://opennet.ru/openforum/vsluhforumID8/6987.html#1 Sat, 11 Sep 2010 09:18:04 GMT &gt;[оверквотинг удален]<br>&gt;RewriteRule (.*) http://%{http_HOST}%{REQUEST_URI} [R=301,L] <br>&gt;<br>&gt;Но это не решило проблему, т.к. чтоб завернуть https на http нужно <br>&gt;сначала установить соедиенение по https. Или я ошибаюсь? <br>&gt;<br>&gt;Конечно я мог бы просто поменять на клиенте (клиентах) адреса в списках <br>&gt;репозиториев, но тогда пропадает весь эффект "прозрачности". <br>&gt;<br>&gt;Заранее благодарен и прошу прощения за вопросы, мои познания в Apache оставляют <br>&gt;желать лучшего... :) <br><br>wget --no-check-certificate<br> <br>