Certificados SQUID3 Versão 3.1.20 [RESOLVIDO]

rbonfim
(usa elementary OS)

Enviado em 25/03/2015 - 13:28h

Pessoal do VOL, boa tarde!

Estou tentando colocar o SQUID3 com o --enable-ssl para funcionar corretamente. Toda a parte de compilação ocorreu da forma como se esperava, o grande problema é em realação aos certificados criados para o protocolo HTTPS. Apesar de ter seguindo vários tutoriais o Firefox continua pedindo a validação do Certificado (Erro de página não confiável) e em alguns casos como webmails simplesmente após a validação do certificado recebo o erro de Página não redirecionada corretamente! Seguem as configurações do SQUID, Iptables e comandos usados para gerar os certificados.

A versão usada foi SQUID3 3.1.20 rodando no Debian Wheezy

SQUID Conf

http_port 3128 intercept

https_port 3129 intercept cert=/etc/squid3/ssl/myCA.crt key=/etc/squid3/ssl/myCA.key

cache_mem 64 MB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 820 16 256



maximum_object_size 64 KB

maximum_object_size_in_memory 40 KB



access_log /var/log/squid3/access.log squid

cache_log /var/log/squid3/cache.log

cache_store_log /var/log/squid3/store.log

pid_filename /var/log/squid3/squid3.pid

mime_table /usr/share/squid3/mime.conf



cache_mgr renato.cesar.bonfim@hotmail.com

memory_pools off



diskd_program /usr/lib/squid3/diskd

unlinkd_program /usr/lib/squid3/unlinkd



refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern (cgi-bin|\?) 0 0% 0

refresh_pattern . 15 20% 2280

quick_abort_max 16 KB

request_header_max_size 20 KB

reply_header_max_size 20 KB

request_body_max_size 0 KB



acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl redelocal src 10.1.0.0/24



acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 1863 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow redelocal



cache_mgr webmaster

mail_program mail

cache_effective_user proxy

cache_effective_group proxy

httpd_suppress_version_string off

visible_hostname server_test



error_directory /usr/share/squid3/errors/Portuguese/

 

IPTABLES

#!/bin/bash

### BEGIN INIT INFO

# Provides: iptables

# Required-Start: $remote_fs dbus udev

# Required-Stop: $remote_fs dbus udev

# Default-Start: 2 3 4 5

# Default-Stop: 0 1 6

# Description: Firewall provides by iptables

### END INIT INFO

#

# Limpa e inicia os modulos do Iptables

iptables -F

iptables -t nat -F

iptables -t mangle -F

modprobe iptable_nat

#

# Configuração do Proxy Transparente

#

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3129

#

# Compartilhamento da conexão

#

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward 

Comandos para Gerar os Certificados

# openssl genrsa -des3 -out myCAkey 1024 

# openssl req -new -key myCA.key -out myCA.csr 

# cp myCA.key myCAkey.old  

# openssl rsa -in myCA.key.old -out myCA.key

# openssl x509 -req -days 365 -in  myCA.csr -signkey myCA.key -out myCA.crt 

 

O certificado gerado, neste caso o arquivo myCA.crt, deve ser incluído no Firefox através de "Preferences - Advanced - Certficates - View Certificates - Authoraties".

O que foi feito de errado?
E como corrigir o problema dos certificados?

Forte abraço a todos

renato_pacheco
(usa Debian)

Enviado em 25/03/2015 - 14:28h

Eu estou passando pelo mesmo problema e descobri q essa versão ainda não consegue fazer o esperado. Eu vou testar com a última versão (3.4.x), pois tem umas opções q podem controlar melhor esse lance do certificado (ssl_bump client-first/server-first).

rbonfim
(usa elementary OS)

Enviado em 25/03/2015 - 15:39h

Renato, valeu pela informação! Vou testar hoje a noite com a versão 3.4 também! O pacote tem que ser adquirido via wget né?