我正在尝试为基于 SSL (HTTPS) 的服务设置本地代理。代理需要访问双向内容的明文(出于合规性原因)。我可以控制服务器证书,也可以完全控制代理及其证书。
我知道这实际上是一种中间人攻击,因此 SSL 正是要防止这种攻击,但我想知道这种设置是否可以通过一些证书魔法和本地 DNS 重定向来实现。如果可能的话,我希望配置 SSL 证书,以便当连接从 LAN 转到 service.something.com 时,它们会转到代理,但当它们源自互联网的其他地方时,它们会直接转到 service.something.com。
这可能吗?如果可以,我该怎么做?谢谢。
编辑:人们可能认为我在做一些见不得人的事,所以才对这个问题投了反对票。其实不是。我只是想让合规部门进行必要的监控,以满足法律要求。如果您仍然不同意这一点,我很抱歉,但如果没有它,公司将不被允许使用该服务。
答案1
您可以使用 fiddler2 (http://www.fiddler2.com/Fiddler/help/httpsdecryption.asp) 并将证书设置为局域网内的受信任证书。但请记住,如果您在未经局域网内用户许可的情况下嗅探加密的 Web 流量,则此方法是不合法的。