Squid SSL Bump: Difference between revisions
Jump to navigation
Jump to search
(Created page with "== Создание сертификата == == Настройка squid.conf == == Динамическая конфигурация сертификатов ==") |
No edit summary |
||
| (6 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
== Создание сертификата == | == Создание сертификата == | ||
Сертификат может быть самоподписанным. Для этого вначале создаётся каталог для хранения сертификата: | |||
cd /etc/squid | |||
mkdir ssl_certs | |||
chown squid:squid ssl_certs | |||
chmod 700 ssl_certs | |||
cd ssl_certs | |||
и используя openssl создаётся сертификат: | |||
openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout myCA.pem -out myCA.pem | |||
Также создаётся DER-сертификат для импортирования вброузеры: | |||
openssl x509 -in myCA.pem -outform DER -out myCA.der | |||
который должен быть сохранён в секции "'''Authorities'''". | |||
== Настройка squid.conf == | == Настройка squid.conf == | ||
Файл "squid.conf": | |||
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_certs/myCA.pem | |||
Для вкючения SSL Bump: | |||
always_direct allow all | |||
ssl_bump server-first all | |||
# the following two options are unsafe and not always necessary: | |||
sslproxy_cert_error allow all | |||
sslproxy_flags DONT_VERIFY_PEER | |||
Дополнительная опционасьная конфигурация может быть добавлена в файл squid.conf для хранения сертификатов конфигурации. Хотя это не обязательно: | |||
sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /etc/squid/ssl_db -M 4MB | |||
sslcrtd_children 5 | |||
Для этого надо создать каталог для хранения сертификатов: | |||
/usr/libexec/ssl_crtd -c -s /etc/squid/ssl_db | |||
chown -R squid:squid /etc/squid/ssl_db | |||
== Динамическая конфигурация сертификатов == | == Динамическая конфигурация сертификатов == | ||
Для возможности создания динамических сертификатов squid должен быть собран с опциями: | |||
./configure --enable-ssl --enable-ssl-crtd ... | |||
make all | |||
make install | |||
Latest revision as of 21:10, 27 May 2015
Создание сертификата
Сертификат может быть самоподписанным. Для этого вначале создаётся каталог для хранения сертификата:
cd /etc/squid mkdir ssl_certs chown squid:squid ssl_certs chmod 700 ssl_certs cd ssl_certs
и используя openssl создаётся сертификат:
openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -keyout myCA.pem -out myCA.pem
Также создаётся DER-сертификат для импортирования вброузеры:
openssl x509 -in myCA.pem -outform DER -out myCA.der
который должен быть сохранён в секции "Authorities".
Настройка squid.conf
Файл "squid.conf":
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_certs/myCA.pem
Для вкючения SSL Bump:
always_direct allow all ssl_bump server-first all # the following two options are unsafe and not always necessary: sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER
Дополнительная опционасьная конфигурация может быть добавлена в файл squid.conf для хранения сертификатов конфигурации. Хотя это не обязательно:
sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /etc/squid/ssl_db -M 4MB sslcrtd_children 5
Для этого надо создать каталог для хранения сертификатов:
/usr/libexec/ssl_crtd -c -s /etc/squid/ssl_db chown -R squid:squid /etc/squid/ssl_db
Динамическая конфигурация сертификатов
Для возможности создания динамических сертификатов squid должен быть собран с опциями:
./configure --enable-ssl --enable-ssl-crtd ... make all make install