Certificato ssl https proxy trasparente
-
Ho bisogno di caricare il certificato per evitare che sui siti https come google appaia il messaggio sui browser per siti https con ceertificato non valido. Qualcuno sa come si procede?
-
ciao, scusa ma non ho capito cosa vorresti fare, mi fai un esempio? grazie
-
Innanzitutto grazie per l'interessamento al mio quesito. Mi spiego meglio, ho installato i pacchetti Squid3-dev e squidguard ed abilitato l' ssl filtering sui siti web in trasparent mode. A questo punto ho creato una ca ed un certificato interno a pfsense e tutto funziona regolarmente. Il punto è che ogni volta che un utente apre una pagina web https (anche google) gli appare il messaggio "connessione non affidabile il certificato non è stato verificato da una…" in questo modo l'utente dovrà cliccare su prosegui. Immagina il panico nelle persone che non sanno cosa fare di fronte a questo messaggio :) vorrei evitare che appaia. Non potendo inserire in tutti i browser (sono più di 700 macchine proxate da pfsense) il mio certificato locale, come posso risolvere? Devo acquistare un certicato da un ente ufficiale? E poi come si caricherebbe su pfsense?
Grazie in anticipo.
-
Hai due opzioni:
a) Far riconoscere il tuo cerficato come affidabile, importandolo in Windows come trusted
b) Comprarti un certificato da una CA e usare quelloOcchio che non so se dal punto legislativo italiano la cosa si può fare, perchè stai facendo a tutti gli effetti un attacco MITM (Man In The Middle)
-
L'opzione b mi sembra quella fattibile. Ma, quale è la procedura per acquistare/importare un certificato su pfsense? Questa parte non mi è molto chiara, potrei importare una CA dal certificate manager di pfsense, inserendo i dati di una ca riconosciuta e poi importare un certificato acquistato, in questo modo potrei essere a posto?
-
Ciao,
ti devi rivolgere a qualche società tipo ssl247, segui l'iter per ottenere il certificato per il tuo dominio e le tue macchine, all'emissione di danno anche il certificato della CA che ha generato i certificati per il tuo dominio. Una volta che hai questi certificati basta importarli in pfSense nel Cert Manager.Ciao fabio
-
Secondo me anche con il certificato autentico non funzionerà: è un MITM e quindi il suo certificato sarà valido solo per il suo dominio, non certo per i siti google..
L'unica soluzione è lavorare sui client magari con una GPO
-
Infatti ti cambia il possessore del certificato, ma viene riconosciuto come legittimo.