Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | |
tachtler:squid_centos_7 [2017/10/19 16:41] – [Portal Splash Pages - Konfiguration] klaus | tachtler:squid_centos_7 [2017/10/19 16:45] (aktuell) – [ssl_bump-Konfiguration] klaus |
---|
# Tachtler - ssl_bump configuration - | # Tachtler - ssl_bump configuration - |
# default: http_port 3128 | # default: http_port 3128 |
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt | http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/proxy/private/proxyCA.key cert=/etc/pki/proxy/certs/proxyCA.crt |
always_direct allow all | |
ssl_bump server-first all | ssl_bump server-first all |
sslproxy_cert_error allow all | sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE |
sslproxy_flags DONT_VERIFY_PEER | |
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB | sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB |
sslcrtd_children 5 startup=1 idle=1 | sslcrtd_children 5 startup=1 idle=1 |
# Tachtler - ssl_bump configuration - | # Tachtler - ssl_bump configuration - |
# default: http_port 3128 | # default: http_port 3128 |
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt | http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/proxy/private/proxyCA.key cert=/etc/pki/proxy/certs/proxyCA.crt |
always_direct allow all | |
ssl_bump server-first all | ssl_bump server-first all |
sslproxy_cert_error allow all | sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE |
sslproxy_flags DONT_VERIFY_PEER | |
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB | sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB |
sslcrtd_children 5 startup=1 idle=1 | sslcrtd_children 5 startup=1 idle=1 |
* ''key=/etc/pki/squid/private/squidCA.key'' - Speicherort des Schlüssels (key) der verwendet werden soll | * ''key=/etc/pki/squid/private/squidCA.key'' - Speicherort des Schlüssels (key) der verwendet werden soll |
* ''cert=/etc/pki/squid/certs/squidCA.crt'' - Speicherort des Zertifikates (Root-CA) das verwendet werden soll | * ''cert=/etc/pki/squid/certs/squidCA.crt'' - Speicherort des Zertifikates (Root-CA) das verwendet werden soll |
| |
* <code>always_direct allow all</code> | |
Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, **direkt** mit dem Ziel-Server zu kommunizieren. | |
| |
* <code>ssl_bump server-first all</code> | * <code>ssl_bump server-first all</code> |
Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, im Modus ''server-first'' **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet. | Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, im Modus ''server-first'' **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet. |
| |
* <code>sslproxy_cert_error allow all</code> | |
Bestimmt das Verhalten des [[http://www.squid-cache.org|Squid]] //Proxy//-Servers, wenn ein **ungültiges** Zertifikat vom Ziel-Server präsentiert wird. | |
| |
:!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''deny all'' gesetzt werden !** | :!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''deny all'' gesetzt werden !** |
| |
* <code>sslproxy_flags DONT_VERIFY_PEE</code> | * <code>sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE</code> |
Weist den [[http://www.squid-cache.org|Squid]] //Proxy//-Server an, das Root-Zertifikat aus der **eigenen CA** nicht zu überprüfen, da dies hier ein **self-signed** Zertifikat ist und eine Prüfung dadurch fehlschlagen würde! | Weist den [[http://www.squid-cache.org|Squid]] //Proxy//-Server an, die angegebenen Cipher-Suiten nur zu verwenden. |
| |
* <code>sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB</code> | * <code>sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB</code> |