Squid SSL Bump: Difference between revisions

From wiki.habital.lv
Jump to navigation Jump to search
No edit summary
 
(5 intermediate revisions by the same user not shown)
Line 1: Line 1:
== Создание сертификата ==
== Создание сертификата ==
Сертификат может быть самоподписанным. Для этого вначале создаётся каталог для хранения сертификата:
cd /etc/squid
mkdir ssl_certs
chown squid:squid ssl_certs
chmod 700 ssl_certs
cd ssl_certs
и используя openssl создаётся сертификат:
openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout myCA.pem  -out myCA.pem
Также создаётся DER-сертификат для импортирования вброузеры:
openssl x509 -in myCA.pem -outform DER -out myCA.der
который должен быть сохранён в секции "'''Authorities'''".
== Настройка squid.conf ==
== Настройка squid.conf ==
Файл "squid.conf":
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_certs/myCA.pem
Для вкючения SSL Bump:
always_direct allow all
ssl_bump server-first all
# the following two options are unsafe and not always necessary:
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
Дополнительная опционасьная конфигурация может быть добавлена в файл squid.conf для хранения сертификатов конфигурации. Хотя это не обязательно:
sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /etc/squid/ssl_db -M 4MB
sslcrtd_children 5
Для этого надо создать каталог для хранения сертификатов:
/usr/libexec/ssl_crtd -c -s /etc/squid/ssl_db
chown -R squid:squid /etc/squid/ssl_db
== Динамическая конфигурация сертификатов ==
== Динамическая конфигурация сертификатов ==
Для возможности создания динамических сертификатов squid должен быть собран с опциями:
Для возможности создания динамических сертификатов squid должен быть собран с опциями:

Latest revision as of 21:10, 27 May 2015

Создание сертификата

Сертификат может быть самоподписанным. Для этого вначале создаётся каталог для хранения сертификата:

cd /etc/squid
mkdir ssl_certs
chown squid:squid ssl_certs
chmod 700 ssl_certs
cd ssl_certs

и используя openssl создаётся сертификат:

openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout myCA.pem  -out myCA.pem

Также создаётся DER-сертификат для импортирования вброузеры:

openssl x509 -in myCA.pem -outform DER -out myCA.der

который должен быть сохранён в секции "Authorities".

Настройка squid.conf

Файл "squid.conf":

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_certs/myCA.pem

Для вкючения SSL Bump:

always_direct allow all
ssl_bump server-first all
# the following two options are unsafe and not always necessary:
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Дополнительная опционасьная конфигурация может быть добавлена в файл squid.conf для хранения сертификатов конфигурации. Хотя это не обязательно:

sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /etc/squid/ssl_db -M 4MB
sslcrtd_children 5

Для этого надо создать каталог для хранения сертификатов:

/usr/libexec/ssl_crtd -c -s /etc/squid/ssl_db
chown -R squid:squid /etc/squid/ssl_db


Динамическая конфигурация сертификатов

Для возможности создания динамических сертификатов squid должен быть собран с опциями:

./configure --enable-ssl --enable-ssl-crtd ...
make all
make install