Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:squid_centos_7

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
tachtler:squid_centos_7 [2017/10/19 16:41]
klaus [Portal Splash Pages - Konfiguration]
tachtler:squid_centos_7 [2017/10/19 16:45] (aktuell)
klaus [ssl_bump-Konfiguration]
Zeile 6884: Zeile 6884:
 # Tachtler - ssl_bump configuration - # Tachtler - ssl_bump configuration -
 # default: http_port 3128 # default: http_port 3128
-http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/​etc/​pki/​squid/private/squidCA.key cert=/​etc/​pki/​squid/certs/squidCA.crt +http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/​etc/​pki/​proxy/private/proxyCA.key cert=/​etc/​pki/​proxy/certs/proxyCA.crt
-always_direct allow all+
 ssl_bump server-first all ssl_bump server-first all
-sslproxy_cert_error allow all +sslproxy_options NO_SSLv2,​NO_SSLv3,​SINGLE_DH_USE
-sslproxy_flags DONT_VERIFY_PEER+
 sslcrtd_program /​usr/​lib64/​squid/​ssl_crtd -s /​var/​lib/​ssl_squid -M 4MB sslcrtd_program /​usr/​lib64/​squid/​ssl_crtd -s /​var/​lib/​ssl_squid -M 4MB
 sslcrtd_children 5 startup=1 idle=1 sslcrtd_children 5 startup=1 idle=1
Zeile 6956: Zeile 6954:
 # Tachtler - ssl_bump configuration - # Tachtler - ssl_bump configuration -
 # default: http_port 3128 # default: http_port 3128
-http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/​etc/​pki/​squid/private/squidCA.key cert=/​etc/​pki/​squid/certs/squidCA.crt +http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/​etc/​pki/​proxy/private/proxyCA.key cert=/​etc/​pki/​proxy/certs/proxyCA.crt
-always_direct allow all+
 ssl_bump server-first all ssl_bump server-first all
-sslproxy_cert_error allow all +sslproxy_options NO_SSLv2,​NO_SSLv3,​SINGLE_DH_USE
-sslproxy_flags DONT_VERIFY_PEER+
 sslcrtd_program /​usr/​lib64/​squid/​ssl_crtd -s /​var/​lib/​ssl_squid -M 4MB sslcrtd_program /​usr/​lib64/​squid/​ssl_crtd -s /​var/​lib/​ssl_squid -M 4MB
 sslcrtd_children 5 startup=1 idle=1 sslcrtd_children 5 startup=1 idle=1
Zeile 6972: Zeile 6968:
   * ''​key=/​etc/​pki/​squid/​private/​squidCA.key''​ - Speicherort des Schlüssels (key) der verwendet werden soll   * ''​key=/​etc/​pki/​squid/​private/​squidCA.key''​ - Speicherort des Schlüssels (key) der verwendet werden soll
   * ''​cert=/​etc/​pki/​squid/​certs/​squidCA.crt''​ - Speicherort des Zertifikates (Root-CA) das verwendet werden soll   * ''​cert=/​etc/​pki/​squid/​certs/​squidCA.crt''​ - Speicherort des Zertifikates (Root-CA) das verwendet werden soll
- 
-  * <​code>​always_direct allow all</​code>​ 
-Ermöglicht es dem [[http://​www.squid-cache.org|Squid]] //​Proxy//​-Server,​ **direkt** mit dem Ziel-Server zu kommunizieren. 
  
   * <​code>​ssl_bump server-first all</​code>​   * <​code>​ssl_bump server-first all</​code>​
 Ermöglicht es dem [[http://​www.squid-cache.org|Squid]] //​Proxy//​-Server,​ im Modus ''​server-first''​ **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet. Ermöglicht es dem [[http://​www.squid-cache.org|Squid]] //​Proxy//​-Server,​ im Modus ''​server-first''​ **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet.
- 
-  * <​code>​sslproxy_cert_error allow all</​code>​ 
-Bestimmt das Verhalten des [[http://​www.squid-cache.org|Squid]] //​Proxy//​-Servers,​ wenn ein **ungültiges** Zertifikat vom Ziel-Server präsentiert wird. 
  
 :!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''​deny all''​ gesetzt werden !**  :!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''​deny all''​ gesetzt werden !** 
  
-  * <​code>​sslproxy_flags DONT_VERIFY_PEE</​code>​ +  * <​code>​sslproxy_options NO_SSLv2,​NO_SSLv3,​SINGLE_DH_USE</​code>​ 
-Weist den [[http://​www.squid-cache.org|Squid]] //​Proxy//​-Server an, das Root-Zertifikat aus der **eigenen CA** nicht zu überprüfen,​ da dies hier ein **self-signed** Zertifikat ist und eine Prüfung dadurch fehlschlagen würde!+Weist den [[http://​www.squid-cache.org|Squid]] //​Proxy//​-Server an, die angegebenen Cipher-Suiten nur zu verwenden.
  
   * <​code>​sslcrtd_program /​usr/​lib64/​squid/​ssl_crtd -s /​var/​lib/​ssl_squid -M 4MB</​code>​   * <​code>​sslcrtd_program /​usr/​lib64/​squid/​ssl_crtd -s /​var/​lib/​ssl_squid -M 4MB</​code>​
tachtler/squid_centos_7.txt · Zuletzt geändert: 2017/10/19 16:45 von klaus