squid с ssl.

0

3

Есть прозрачно фильтруемый инет, который к нам приходит. С недавних пор запустили фильтрацию https, т.е https теперь не работает пока не добавишь в браузер certificat.der. Сами в организации раздаем этот инет через непрозрачный squid. Есть ли какая-нибудь возможность подсовывать этот серт в нашем squidе?

Ссылка

←	Вопросы по dansguardian

Openwrt как задать уровень сигнала

→

запросить закрытый сертификат у того кто вам mim устраивает

loki_ ★★
(02.03.15 00:17:28 MSK)

Ответ на: комментарий от loki_ 02.03.15 00:17:28 MSK

Спасибо за ответ. Получив закрытый сертификат, куда его подставить? Есть ли еще какие-нибудь варианты?

minxayzin
(02.03.15 07:40:13 MSK) автор топика

Ответ на: комментарий от loki_ 02.03.15 00:17:28 MSK

Зачем? Приватный ключ тут ничем не поможет. И нормальное решение только одно - добавлять в браузер сертификат.

Vovka-Korovka ★★★★★
(02.03.15 07:42:04 MSK)

Есть ли какая-нибудь возможность подсовывать этот серт в нашем squidе?

Ты не можешь его клиентам подсунуть через squid. Почитай как работает SSL.

Vovka-Korovka ★★★★★
(02.03.15 07:43:30 MSK)

Ссылка

Ответ на: комментарий от Vovka-Korovka 02.03.15 07:42:04 MSK

ну как бы если взять корневой сертификат тех товарищей, то можно такие же сертификаты генерировать, что и хочет топикстартер (вроде)

ну и в общем случае этот ca можно установить на клиентские машины и тогда добавлять тож ничего не надо будет

loki_ ★★
(02.03.15 07:45:53 MSK)

Ответ на: комментарий от minxayzin 02.03.15 07:40:13 MSK

ну я был не прав, нужен их ca, а не закрытый сетификат. куда подставлять - http://wiki.squid-cache.org/Features/SslBump, когда то (давно) работало

loki_ ★★
(02.03.15 07:48:03 MSK)

Ссылка

Ответ на: комментарий от loki_ 02.03.15 07:45:53 MSK

ну как бы если взять корневой сертификат тех товарищей, то можно такие же сертификаты генерировать, что и хочет топикстартер (вроде)

Зачем? Эти сертификаты уже генерируют провайдер интернета, только клиентские браузеры им не будут доверять, пока ты подписывающий сертификат(публичную часть) не добавишь в браузер. От того, что ты начнешь генерировать сертификаты на своей стороне ничего не изменится. Если же хочется самим прозрачно https проксировать, то все равно провайдеровский приватный ключ не нужен - нужно лишь самому завести сертификат с правом подписи и добавлять публичную часть на все браузеры.

Vovka-Korovka ★★★★★
(02.03.15 07:51:18 MSK)

Ответ на: комментарий от Vovka-Korovka 02.03.15 07:51:18 MSK

плин! да топикстартер просит - такой же сертификат генерировать)

loki_ ★★
(02.03.15 07:58:18 MSK)

Ответ на: комментарий от loki_ 02.03.15 07:58:18 MSK

Нет, ТС думает, что через squid можно подсунуть публичную часть сертификата провайдера как доверенную. Про генерацию там не слова.

Vovka-Korovka ★★★★★
(02.03.15 08:01:40 MSK)

Ответ на: комментарий от Vovka-Korovka 02.03.15 08:01:40 MSK

ммм, вполне возможно что я изначально не так понял ТСа, да.

loki_ ★★
(02.03.15 08:04:41 MSK)

Ссылка

Ответ на: комментарий от Vovka-Korovka 02.03.15 07:51:18 MSK

тоесть вариант только один. добавлять в браузеры? неужели действительно вариантов никаких нету?

minxayzin
(02.03.15 08:33:17 MSK) автор топика

Ответ на: комментарий от minxayzin 02.03.15 08:33:17 MSK

тоесть вариант только один. добавлять в браузеры?

Да.

неужели действительно вариантов никаких нету?

Если бы были варианты, SSL был бы бесполезен.

Vovka-Korovka ★★★★★
(02.03.15 09:09:15 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопросы по dansguardian

Admin

Openwrt как задать уровень сигнала

→

Похожие темы