Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:squid_centos_7

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
tachtler:squid_centos_7 [2017/10/19 16:41] – [Portal Splash Pages - Konfiguration] klaustachtler:squid_centos_7 [2017/10/19 16:45] (aktuell) – [ssl_bump-Konfiguration] klaus
Zeile 6884: Zeile 6884:
 # Tachtler - ssl_bump configuration - # Tachtler - ssl_bump configuration -
 # default: http_port 3128 # default: http_port 3128
-http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt +http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/proxy/private/proxyCA.key cert=/etc/pki/proxy/certs/proxyCA.crt
-always_direct allow all+
 ssl_bump server-first all ssl_bump server-first all
-sslproxy_cert_error allow all +sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
-sslproxy_flags DONT_VERIFY_PEER+
 sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB
 sslcrtd_children 5 startup=1 idle=1 sslcrtd_children 5 startup=1 idle=1
Zeile 6956: Zeile 6954:
 # Tachtler - ssl_bump configuration - # Tachtler - ssl_bump configuration -
 # default: http_port 3128 # default: http_port 3128
-http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt +http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/proxy/private/proxyCA.key cert=/etc/pki/proxy/certs/proxyCA.crt
-always_direct allow all+
 ssl_bump server-first all ssl_bump server-first all
-sslproxy_cert_error allow all +sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
-sslproxy_flags DONT_VERIFY_PEER+
 sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB
 sslcrtd_children 5 startup=1 idle=1 sslcrtd_children 5 startup=1 idle=1
Zeile 6972: Zeile 6968:
   * ''key=/etc/pki/squid/private/squidCA.key'' - Speicherort des Schlüssels (key) der verwendet werden soll   * ''key=/etc/pki/squid/private/squidCA.key'' - Speicherort des Schlüssels (key) der verwendet werden soll
   * ''cert=/etc/pki/squid/certs/squidCA.crt'' - Speicherort des Zertifikates (Root-CA) das verwendet werden soll   * ''cert=/etc/pki/squid/certs/squidCA.crt'' - Speicherort des Zertifikates (Root-CA) das verwendet werden soll
- 
-  * <code>always_direct allow all</code> 
-Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, **direkt** mit dem Ziel-Server zu kommunizieren. 
  
   * <code>ssl_bump server-first all</code>   * <code>ssl_bump server-first all</code>
 Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, im Modus ''server-first'' **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet. Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, im Modus ''server-first'' **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet.
- 
-  * <code>sslproxy_cert_error allow all</code> 
-Bestimmt das Verhalten des [[http://www.squid-cache.org|Squid]] //Proxy//-Servers, wenn ein **ungültiges** Zertifikat vom Ziel-Server präsentiert wird. 
  
 :!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''deny all'' gesetzt werden !**  :!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''deny all'' gesetzt werden !** 
  
-  * <code>sslproxy_flags DONT_VERIFY_PEE</code> +  * <code>sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE</code> 
-Weist den [[http://www.squid-cache.org|Squid]] //Proxy//-Server an, das Root-Zertifikat aus der **eigenen CA** nicht zu überprüfen, da dies hier ein **self-signed** Zertifikat ist und eine Prüfung dadurch fehlschlagen würde!+Weist den [[http://www.squid-cache.org|Squid]] //Proxy//-Server an, die angegebenen Cipher-Suiten nur zu verwenden.
  
   * <code>sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB</code>   * <code>sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB</code>
tachtler/squid_centos_7.txt · Zuletzt geändert: 2017/10/19 16:45 von klaus