- 主题:寻找一种网络技术(类似DNS劫持)
用多域名证书就行了
【 在 bihai 的大作中提到: 】
: 我们有一种设备,设备会向服务器发送https的请求,然后根据回复做动作。假定这个服务器是xyz.com
: 现在我们还有一个姊妹服务器叫xyz-test.com,我们可以把服务器的是修改版放到xyz-test.com上,然后手写一些https请求,看结果。如果比较好,就把修改版放到xyz.com上。但是毕竟这个测试不是真实的,因为设备是不是真的发的包和我们手写的一样,如果有bug,就不一样,对不对?
: 所以我想了一个办法,架设一个实验室,在实验室里的设备如果请求xyz.com的ip地址,就发xyz-test.com的IP给它。但是这里有一个问题,我们的请求是https的。这个就没有办法了吧?
--
FROM 124.64.18.197
你自己把自己绕进去了
xyz.com不是你自己的域名吗。。。证书也是你自己控制吧
忘了你有xyz-test.com这回事,你就是有俩服务器,它们都是xyz.com,配上同一个证书
dns返回哪个,哪个就是xyz.com
【 在 bihai 的大作中提到: 】
: 不是,我提dns是因为dns是一个解决方案,但是其实无法真正解决https的问题。
: 客户端发送的包是给xyz.com的,即使被dns告知了xyz-test.com的地址,因为证书不对,客户端不会接受的。xyz-test.com的证书是说它就是xyz-test.com。有别的服务必须让xyz-test.com提供这个说自己是xyz-test.com的证书,(除非一个网站有多个证书,但是怎么动态提供)
看你的 web 服务器的配置,比如 nginx 是支持对不同域名请求返回不同证书的
--
FROM 221.217.55.*
我们不是一个组的,基本是有一个组来提供服务,他们有一个xyz.com,还有xyz-test.com,至于xyz-test.com是否持有自己的证书证明自己是xyz-test.com,我就不知道了。不过应该是可以让一个网站有多个证书的,这个我原先不知道。
【 在 wincss 的大作中提到: 】
: 你自己把自己绕进去了
: xyz.com不是你自己的域名吗。。。证书也是你自己控制吧
: 忘了你有xyz-test.com这回事,你就是有俩服务器,它们都是xyz.com,配上同一个证书
: ...................
--
FROM 72.199.121.*
“地址,因为证书不对……”
你都提出是DNS劫持了,自然只是IP变化一下,
证书一般是和访问的URL绑定,用域名的话,和哪个IP没啥关联。
在xyz-test.com上做个vhosts也用xyz.com的证书不就完了。
内网系统的话,自己签一套CA弄个多域名证书,随便怎么玩都行。
【 在 bihai 的大作中提到: 】
: 不是,我提dns是因为dns是一个解决方案,但是其实无法真正解决https的问题。
: 客户端发送的包是给xyz.com的,即使被dns告知了xyz-test.com的地址,因为证书不对,客户端不会接受的。xyz-test.com的证书是说它就是xyz-test.com。有别的服务必须让xyz-test.com提供这个说自己是xyz-test.com的证书,(除非一个网站有多个证书,但是怎么动态提供)
--
FROM 117.173.158.*