使用Apache2搭建Google加密反向代理

2014-09-01

Google数字证书被干扰

几个月前Google就被从IPv4网络上彻底干掉了,但是IPv6网络的用户并没有受到什么影响,或许是用户数量少的缘故吧。不过从今天早晨开始,IPv6下加密访问Google也开始变得不正常了——每次用Chrome打开“https://www.google.com.hk/”,都会提示“您的连接不是私密连接,攻击者可能会试图从www.google.com.hk窃取您的信息”。从目前已知的信息来看,应该是Google的SSL证书在传输过程中被人为干扰了。

Google的不能正常使用使我的工作受到了严重影响,所以我只能想办法解决喽。恰好我前段时间入手了一枚RamNode的VPS,所以我便用这枚VPS搭建一个反向代理。从效果来看,确实还不错,而且比用VPN要方便得多。

下边把配置步骤简单地写一下吧。

1.从StartSSL申请一个域名证书,或者使用证书生成工具生成一张自签名的证书,并将生成的crt文件和key文件上传到服务器;

2.在Apache2的conf.d目录下新建一个名为“google_proxy.conf”的虚拟主机配置文件;

touch google_proxy.conf

3.在其中配置一台监听443端口的虚拟主机,配置域名和证书的路径,添加反向代理的域名(www.google.com 或者 www.google.co.jp ,反代Google香港会自动跳转);

<VirtualHost _default_:443>
ServerAdmin mail@localhost
DocumentRoot “/var/www/html”
ServerName 你的域名:443
SSLEngine On
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile crt文件路径
SSLCertificateKeyFile key文件路径
#SSLCertificateChainFile pem文件路径,可选
SetEnvIf User-Agent “.*MSIE.*” \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
SSLProxyEngine On
RequestHeader set Front-End-Https “On”
ProxyPass / https://www.google.com/
ProxyPassReverse / https://www.google.com/
CacheDisable *
</VirtualHost>

4.强制使用HTTPS访问,将使用HTTP协议访问的用户强制重定向到HTTPS;

<VirtualHost _default_:443>
ServerAdmin mail@localhost
DocumentRoot “/var/www/html”
ServerName 你的域名:80
RewriteEngine On
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R,L]
</VirtualHost>

5.重启Apache服务,输入证书的导出密码,重启完成。

service httpd restart

至此,安装结束。

附示例:我的配置文件


除非特殊说明,本博客文章均为原创,转载请以链接形式标明博文地址。

本文链接地址: 使用Apache2搭建Google加密反向代理

分类:随笔文章 | 标签: |
  1. 用的lnmp,一直有2个问题,ssl.gstatic.com这玩意一直链接,还有就是知识代理了首页,点击上面的+,图片什么的,还是跑到谷歌去了,一直没解决,请博主指教!

    • 换NGINX做反代吧,Apache貌似不能负载均衡,容易被Google提示输入验证码。
      我现在只是把Google反代作为备选方案,在PAC方式不能用的情况下才临时开启,所以对于ssl.gstatic.com,我一直听之任之,大不了点一下停止,停止加载页面就可以显示了。
      Nginx似乎可以把URL替换掉。

    • 我想起个问题,最好还是用Nginx吧,用Apache搭有点鸡肋。Nginx后端可以做负载均衡,Apache的话,请求多的话,Google可能会当成机器自动访问,出现烦人的验证码。请知悉。

  2. 难得在公司的网里面绕到博主的这儿来了,于是乎,按先搬走咯。日后有时间自己再搭建个玩玩

    • 多谢分享,确实如此。在www.google.com.hk HTTPS干扰解除前,我一直在用这个。我搞不懂的是,GFW为什么把https://www.google.com.hk的证书干扰了,却放过https://ipv6.google.com.hk

      • 俺觉得很大程度上跟用户的规模以及用户的身份还是有很大关系的。毕竟v6的国内还是少部分人在用

        • 是的,IPv6主要针对的还是各大高校的老师和学生,科研需要更多,更离不开Google;而且相对来说接受的教育更多,相对普通人来说有更强的是非辨别能力。我一直觉得GFW的真正用意并不是针对这部分人的,要不也不会给翻墙留下这么多的口子了。

  3. 我建议你换成X3吧,毕竟便宜。我资讯了万网的人工客服,他们说除了轻云服务器其他的都是共享ip的,虽然查不到ip下的共同网站,但是确实是共享的。。。记得你有说过所以我来告诉你

    • 谢谢特意来告诉我这个消息。
      因为我这个虚拟主机是很久之前买的了,那时候万网虚拟主机的一大卖点就是独立IP,所以我持怀疑态度。比如http://www.net.cn/static/discount/hosting_m3.asp?aid=discount_choosehosting_15_120113w,这个页面明确表示M3是独立IP的,其他的应该也差不多。我购买的时候,卖家明确表示是独立IP。
      不过现在买新虚机的话,很有可能就不是独立IP了,也就像客服所说的一样。

  4. 博主写得很好,以后会常来的。
    ###############################################################################
    对了,刚刚我发现了一个主机活动:七折不说还有买5年送5年等优惠http://www.henghost.com/news/311.html