LINUX.ORG.RU
ФорумAdmin

SQUID4 настройка HTTPS

 


0

1

Подскажите пожалуйста. Настроил squid4 на работу с «HTTPS». Создал ключ для debiana и открытый ключ, установил его в браузер и сайты открываются, но в логах /var/log/squid/cache сыпятся вот такие ошибки, подскажите пожалуйста куда копать:

Error negotiating SSL connection on FD 41: error:00000001:lib(0):func(0):reason(1) (1/-1)

kid1| ERROR: negotiating TLS on FD 43: error:00000000:lib(0):func(0):reason(0) (5/-1/104

SSL bump rules

ssl_bump peek DiscoverSNIHost

ssl_bump splice NoSSLIntercept

ssl_bump bump all

в конфиге squid установлен следующий параметр:

http_port 10.168.70.119:3129 ssl-bump
cert=/etc/squid/ssl/squidCA4.pem
generate-host-certificates=on
dynamic_cert_mem_cache_size=16MB

Error negotiating SSL connection on FD 41: error:00000001:lib(0):func(0):reason(1) (1/-1) kid1| ERROR: negotiating TLS on FD 43: error:00000000:lib(0):func(0):reason(0) (5/-1/104

Нашел, что эти ошибки возможно вызваны не squida, а OPENSSL, но как их исправить пока не ясно, никто не сталкивался с этими ошибками?

unix_day ()
Ответ на: комментарий от vel

Перегенирировал ключ и сертификат со следующими параметрами, ошибки перестали сыпаться:

cd /etc/squid/ssl openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout squidca.pem -out squidca.pem

chown proxy:proxy squidca.pem chmod 640 squidca.pem

openssl x509 -outform der -in squidca.pem -out squidca.crt /usr/lib/squid/security_file_certgen -c -s /var/lib/ssl_db -M 4MB chown proxy:proxy -R /var/lib/ssl_db

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squidca.pem

acl step1 at_step SslBump1 ssl_bump peek step1 ssl_bump bump all

sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

Как как думает есть ли смысл увеличивать кэш имитированных сертификатов sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB, если количество пользователей 170?

unix_day ()
Ответ на: комментарий от unix_day

Просто перегенерация сертификата и ключей? Что-то странное... При этом версия openssl и ее настройки не менялись?

Размер кеша в первую очередь зависит от числа имен хостов к которым идут обращения. Как оно связанно с числом юзеров - не знаю.

Тебя напрягает хранение сертификатов общим объемом 4Мб ?

vel ★★★★★ ()
Ответ на: комментарий от vel

Да, только перегенерация и все. Вообщем ошибки появляются, но теперь их в несколько раз меньше, странно. Значит перегенерация не до конца решила проблему, а может и вовсе не решила… Да, парюсь что кэш может быстро забиться, разве 4мб для 170 хостов это не мало? В интернете встречается 2 цифры 4МБ и 16МБ, но объяснений нет, какого объема и в каких случаях, какой кэш предпочтительней выставлять. Как быстро он забьется и что будет когда он забьется, очевидно перестанут выдаваться сертификаты squid`om и сайты перестанут быть доступными)

unix_day ()
Ответ на: комментарий от unix_day

Данные ошибки появляются при открытии сайта с некорректным по мнению squida сертификатом в следствии чего в браузере появляется страница с предупреждением и в этот момент в логах squida и появляются данные ошибки. Решается это установкой в конфиг строчки, которая позволит принимать даже ошибочные сертификаты:

a) в squid 4 это tls_outgoing_options flags=DONT_VERIFY_PEER

б) в squid 3 это sslproxy_flags DONT_VERIFY_PEER

Но это не безопасно так как это позволит принимать все сертификаты. Где то видел что можно создать ACL и прописывать в нем конкретны сайты. Так было было бы безопаснее.

unix_day ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.