Вопросы Теги

HTTPS на сервере прокси HTTP Сквида

То, что мы делаем, помещается все банки (например, свободное городское население - *.jar) в/opt/java/jars, и имейте символьные ссылки под ../tomcat/lib та точка им.

2
задан 14 April 2014 в 13:03
3 ответа

Вот теперь мои правила ssl-bump настроены, и они работают без проблем: 

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1
ssl_bump server-first all
ssl_bump none localhost

Затем просто установите прокси HTTP и SSL на сервер и порт 3128.

0
ответ дан 3 December 2019 в 15:09

Для фильтрации HTTPS необходимо использовать функцию SSL Bump в Squid. Легким способом реализации этого является использование QLProxy, т.к. по умолчанию включена функция SSL Bump.

Если вы хотите добавить его в существующую конфигурацию, вы можете исследовать его здесь

SIDE NOTE : SSL был разработан, частично, для того, чтобы выдать гарантии соединяющейся стороне, что они подключаются к сервису, к которому они ожидают подключиться. Перехват этой передачи, что вы и пытаетесь сделать, нарушит целостность HTTPS и выдаст предупреждения о сертификатах вашим клиентам. Это можно смягчить, распространив доверенный сертификат среди всех ваших клиентов, однако здесь есть этическая проблема, поскольку вы, по сути, подслушиваете трафик, который, как полагают ваши клиенты, является безопасным.

.
0
ответ дан 3 December 2019 в 15:09

Если вы хотите пересылать запросы только через статический IP-адрес, базовая конфигурация squid (без ssl_bump) должна работать нормально.

Вы используете его таким образом в сочетании с правилами ACL и аутентификацией:

https_port 8443 cert=/etc/certs/proxy-fullchain.pem key=/etc/ssl/private/proxy.key

Поэтому я могу запросить через прокси-сервер таким образом:

curl --proxy https://user:pass@proxy.example.com:8443 https://target.example.com

Если вам нужно перехватить соединение, чтобы применить правила, основанные на его содержимом, так что вы необходимо перехватить SSL Interception

0
ответ дан 7 April 2021 в 17:32

Теги

Похожие вопросы