LINUX.ORG.RU

вопрос про SSL Bump


0

1

Добрый день! Установили сквид с нужными опциями для ssl bump, сгенерировали на нем самоподписанный сертификат. Использование планируется через прописывание этого прокси-сервера в браузере. На данный момент в конфиге сквида такие строчки:

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl CONNECT method CONNECT

# Recommended minimum Access Permission configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager

# Deny requests to certain unsafe ports http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports

Строчки касающиеся ssl bump:

# Squid normally listens to port 3128 http_port 3128 ssl-bump generate-host-certificates=on cert=/etc/squid/ssl_cert/CA.pem #ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/CA.pem

#always_direct allow all ssl_bump allow all # the following two options are unsafe and not always necessary: sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER

Вставил сюда наиболее важные строчки. Пользовались статьей http://wiki.squid-cache.org/Features/DynamicSslCert при настройке ssl bump. Мы импортировали этот сертификат в доверенные через оснастку mmc для учетной записи и для компьютера тоже. Пока это работает только на одной машине, импортировал сертификат для Firefox в его хранилище через Инструменты->Настройки->Сертификаты и импортировал в центры сертификации. В настройках IE, Firefox, Chrome отключил все настройки безопасности, касающиеся проверки сертификатов. Все компьютеры в домене. Но все равно Firefox и Chrome ругаются на сертификат, говорят, что URL в сертификате и URL, на который переходят, не совпадают.

Реально ли сделать так, чтобы SSl bump нормально работал во всех этих браузерах? У кого-нибудь получалось? Как можно решить проблему?

Почитал, что есть еще такие опции: ssl_bump client_first all ssl_bump server_first all

Насколько необходимо их использовать?


Прочитайте в FF, на какой домен выписан принимаемый сертификат.

ktulhu666 ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.