किसी दिए गए IP पते के साथ HTTPS URL का परीक्षण कैसे करें


77

मान लीजिए कि एक वेबसाइट कई सर्वरों के बीच लोड-संतुलित है। मैं यह परीक्षण करने के लिए एक कमांड चलाना चाहता हूं कि क्या यह काम कर रहा है, जैसे कि curl DOMAIN.TLD। इसलिए, प्रत्येक आईपी पते को अलग करने के लिए, मैं मैन्युअल रूप से आईपी निर्दिष्ट करता हूं। लेकिन कई वेबसाइटों को सर्वर पर होस्ट किया जा सकता है, इसलिए मैं अभी भी एक होस्ट हेडर प्रदान करता हूं, जैसे curl IP_ADDRESS -H 'Host: DOMAIN.TLD':। मेरी समझ में, ये दोनों कमांड एक ही HTTP अनुरोध बनाती हैं। अंतर केवल इतना है कि बाद वाले में मैं cURL से DNS लुकअप भाग को निकालता हूं और इसे मैन्युअल रूप से करता हूं (कृपया मुझे गलत समझें तो सही करें)।

अभी तक सब ठीक है। लेकिन अब मैं HTTPS url के लिए भी यही करना चाहता हूं। फिर, मैं इसे इस तरह से परख सकता था curl https://DOMAIN.TLD। लेकिन मैं आईपी को मैन्युअल रूप से निर्दिष्ट करना चाहता हूं, इसलिए मैं चलाता हूं curl https://IP_ADDRESS -H 'Host: DOMAIN.TLD'। अब मुझे एक CURL त्रुटि मिली:

curl: (51) SSL: certificate subject name 'DOMAIN.TLD' does not match target host name 'IP_ADDRESS'.

मैं निश्चित रूप से प्रमाणपत्र ("-k" विकल्प) की परवाह नहीं करने के बारे में बताकर इसे प्राप्त कर सकता हूं, लेकिन यह आदर्श नहीं है।

क्या एसएसएल द्वारा प्रमाणित किए जा रहे होस्ट से आईपी पते को अलग करने का एक तरीका है?


क्या आपका लोड बैलेंसर एसएसएल समाप्ति बिंदु है, या यह व्यक्तिगत उदाहरण है?
रिकोला

क्या कोई यह बता सकता है कि होस्ट हेडर HTTPS के लिए बैक-एंड पर सही VHost और सर्टिफिकेट का चयन क्यों नहीं करता है, लेकिन यह अकेले HTTP वर्जन के लिए ठीक है। क्या क्लाइंट बैक-एंड (HTTPS प्रोटोकॉल का उपयोग करते हुए) को जानकारी देता है कि क्या IP या डोमेन का उपयोग किया गया था?
NeverEndingQueue

@NeverEndingQueue इसे समझने के लिए आपको TLS और HTTP के बीच के संबंध को जानना होगा। Hostहेडर तक पहुंचने से पहले सर्वर को प्रमाणपत्र दिखाना होगा , इसलिए --resolveआईपी ​​एड्रेस को पिन करने का सही तरीका है।
फ्रैंकलिन यू

जवाबों:


117

सोचें कि मुझे CURL मैनुअल के माध्यम से एक समाधान मिल रहा है:

curl https://DOMAIN.EXAMPLE --resolve 'DOMAIN.EXAMPLE:443:192.0.2.17'

[कर्ल] 7.21.3 में जोड़ा गया। निष्कासन समर्थन 7.42.0 में जोड़ा गया।

से CURLOPT_RESOLVE समझाया



7
मेरी मशीन पर कर्ल (.२ machine.०) है - रिज़ॉल्व।
थेरॉन लुहान

आप इसका उपयोग करके काम देख सकते हैं curl -vऔर आप देख सकते हैं कि कर्ल DNS कैश के लिए विकल्प को अस्थायी रूप से जोड़ता है, और इसमें निर्दिष्ट आईपी पते का उपयोग करता है।
CMCDragonkai

CentOS 6.8 कर्ल: विकल्प --resolve: अज्ञात कर्ल है: अधिक जानकारी रूट @ server3 [~] # कर्ल -V कर्ल 7.19.7 (x86-64-64- redhat-linux) के लिए 'कर्ल-help' या 'कर्ल - मैनुअल' आज़माएं। ) libz
जोस

ध्यान दें कि यदि आप होस्टनाम का उपयोग करते हैं IP_ADDRESS, तो यह चुपचाप विकल्प को अनदेखा कर देगा।
Xiong Chiamiov

11

आप सर्वर को यह सोचने के लिए / आदि / मेजबानों में बदल सकते हैं कि डोमेन एक निश्चित आईपी पर स्थित है।

यह वाक्य रचना है:

192.168.10.20 www.domain.tld

यह SSL-प्रमाणपत्र के बिना आपके द्वारा वांछित IP-पते का उपयोग करने के लिए cURL बना देगा।


4
यह काम करता है, लेकिन मैं कुछ विधि को देख रहा हूं जिसमें ओएस को पूरी तरह से संशोधित करने की आवश्यकता नहीं है
मार्टिन

मुझे नहीं लगता कि ईमानदारी से कोई और तरीका है। आपको काम करने के लिए प्रमाणपत्र के लिए सही डोमेन-नाम का उपयोग करने के लिए cURL प्राप्त करना होगा, और किसी आईपी के लिए एक निश्चित डोमेन को मैप करने का तरीका या तो DNS द्वारा या होस्ट्स-फ़ाइल द्वारा किया जाता है।
मियोनो

7

यहाँ manवर्तमान में सबसे अधिक उत्कीर्ण उत्तर के लिए प्रविष्टि है क्योंकि उन्होंने केवल प्रोग्रामेटिक घटक के लिए एक लिंक शामिल किया है:

--resolve <host:port:address>

    Provide  a  custom  address  for  a specific host and port pair. Using
    this, you can make the curl requests(s) use a specified address and 
    prevent the otherwise normally resolved address to be used. Consider 
    it a sort of /etc/hosts alternative provided on the command line. 
    The port number should be the number used for the specific protocol 
    the host will be used for. It means you need several entries if you 
    want to provide address for the same host but different ports.

    The provided address set by this option will be used even if -4, 
    --ipv4 or -6, --ipv6 is set to make curl use another IP version.

    This option can be used many times to add many host names to resolve.

    Added in 7.21.3.

लेकिन दी गई सीमा के कारण ("इसका मतलब है कि आपको कई प्रविष्टियों की आवश्यकता है यदि आप एक ही मेजबान लेकिन विभिन्न बंदरगाहों के लिए पता प्रदान करना चाहते हैं।"), मैं एक और, नए विकल्प पर विचार करूंगा जो एक ही समय में दोनों का अनुवाद कर सकता है।

--connect-to <HOST1:PORT1:HOST2:PORT2>

    For  a request to the given HOST:PORT pair, connect to 
    CONNECT-TO-HOST:CONNECT-TO-PORT instead. This option is suitable 
    to direct requests at a specific server, e.g. at a specific cluster 
    node in a cluster of servers. This option is only used to establish 
    the network connection. It does NOT affect the hostname/port that 
    is used for TLS/SSL (e.g. SNI, certificate verification) or for 
    the application protocols. "host" and "port" may be the empty string, 
    meaning "any host/port". "connect-to-host" and "connect-to-port" 
    may also be the empty string, meaning "use the request's original host/port".

    This option can be used many times to add many connect rules.

    See also --resolve and -H, --header. 
    Added in 7.49.0.

4

यदि आप विंडोज में कर्ल चला रहे हैं, तो दोहरे उद्धरण चिह्नों का उपयोग करें

curl https://DOMAIN.TLD --resolve "DOMAIN.TLD:443:IP_ADDRESS"

curl DOMAIN.TLD --resolve "DOMAIN.TLD:80:IP_ADDRESS"

आप स्कीम / प्रोटोकॉल को सामने छोड़ सकते हैं, लेकिन आप पोर्ट नंबर को --resolve स्ट्रिंग में नहीं छोड़ सकते।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.