Добрый день! Установили сквид с нужными опциями для ssl bump, сгенерировали на нем самоподписанный сертификат. Использование планируется через прописывание этого прокси-сервера в браузере. На данный момент в конфиге сквида такие строчки:
acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl CONNECT method CONNECT
# Recommended minimum Access Permission configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager
# Deny requests to certain unsafe ports http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports
Строчки касающиеся ssl bump:
# Squid normally listens to port 3128 http_port 3128 ssl-bump generate-host-certificates=on cert=/etc/squid/ssl_cert/CA.pem #ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/CA.pem
#always_direct allow all ssl_bump allow all # the following two options are unsafe and not always necessary: sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER
Вставил сюда наиболее важные строчки. Пользовались статьей http://wiki.squid-cache.org/Features/DynamicSslCert при настройке ssl bump. Мы импортировали этот сертификат в доверенные через оснастку mmc для учетной записи и для компьютера тоже. Пока это работает только на одной машине, импортировал сертификат для Firefox в его хранилище через Инструменты->Настройки->Сертификаты и импортировал в центры сертификации. В настройках IE, Firefox, Chrome отключил все настройки безопасности, касающиеся проверки сертификатов. Все компьютеры в домене. Но все равно Firefox и Chrome ругаются на сертификат, говорят, что URL в сертификате и URL, на который переходят, не совпадают.
Реально ли сделать так, чтобы SSl bump нормально работал во всех этих браузерах? У кого-нибудь получалось? Как можно решить проблему?
Почитал, что есть еще такие опции: ssl_bump client_first all ssl_bump server_first all
Насколько необходимо их использовать?