LINUX.ORG.RU
решено ФорумAdmin

Почему squid может не отдавать полную цепочку сертификата?

 , ,


0

1

Собственно subj. Т.е. openssl s_client при коннекте не то чтобы не получает от сервера сертификат, он просто получает из всей цепочки только первый сертификат и не может проверить его подлинности. Ну и curl на него ругается

curl: (60) SSL certificate OpenSSL verify result: unable to get local issuer certificate (20)
More details here: https://curl.se/docs/sslcerts.html

Сервер - Ubuntu 24.04.3 LTS
OpenSSL - 3.0.13 30 Jan 2024 (Library: OpenSSL 3.0.13 30 Jan 2024)
Squid Cache: Version 6.13

Причём в самом файле сертификата лежит полная цепочка и тот же lighttpd на другом сервере цепочку отдаёт полностью.

UPD: поставил не тот пакет squid. Поставил squid-ssl и всё заработало.

★★★★★

Последнее исправление: WatchCat (всего исправлений: 1)
проблема с сетевой картой, no carrier
Ахахах, оказывается, RAID - не бэкап
Ответ на: комментарий от maxcom

В смысле «вскрываю»? Есть https-прокси с белым ip и записью в публичным днс. У него летсэнкриптовский сертификат. Честно подписанный и автоматически обновляемый. Ранее такое работало корректно, но там была другая машина и другая версия Убунты. А тут пришлось переехать и на новой машине старая схема не завелась. Причём на старой машине отдавалась полная цепочка.

WatchCat ★★★★★
() автор топика
Ответ на: комментарий от WatchCat

Ты имеешь ввиду что это сертификат самой прокси, и внутри её зашифрованного соединения уже делается CONNECT на ещё один, уже вложенный, https?

Вполне допускаю что оно тупо сломалось, такой схемой очень редко кто пользуется и её скорее всего никто не тестирует.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Мой косяк. В общем, заменил пакет на squid-ssl и всё заработало. Что значить привык на Гентушечке сидеть, где всё это через use-флаги настраивается.

WatchCat ★★★★★
() автор топика
проблема с сетевой картой, no carrier
Admin
Ахахах, оказывается, RAID - не бэкап