Certificados Digitais de Site + Squid3-Dev + Squidguard-Squid3
-
Após a instalação do PFsense com Squid3-dev + Squidguard-squid3, os sites com certificados digitais não estão funcionando, eles foram adicionados aos sites liberados e estão acessando apenas, não estamos conseguindo logar nos sites como justiça federal, no geral é uma contabilidade e por isso quase todos acessam esses sites da receita com certificado.
Poderiam ajudar com a solução?
-
Coloque esses sites na whitelist para não fazer a interceptação de ssl.
-
Isso em Proxy Server > ACL correto? No squidguard não preciso alterar nada?
-
-
Marcelo se criar um aliases e colocar em Bypass proxy for these destination IPs não teria o mesmo efeito?
-
Marcelo se criar um aliases e colocar em Bypass proxy for these destination IPs não teria o mesmo efeito?
Se estiver usando proxy transparente sim.
-
BOm dia!
Marcelloc fiz o que passou porem alguns sites ainda continuam aparecendo a tela conforme o print abaixo, sera que precisa fazer mais alguma coisa?
-
Veja o emissor do certificado para ter certeza se é o certificado original ou o do squid.
-
Marcelloc,
quando eu tiro o bloqueio volta ao normal conforme as telas abaixo, quando eu volto o bloqueio veja as telas abaixo.
abraços,
![2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)
![2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)
![2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)
![2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb) -
mano seu proxy é transparente? Se sim tenta ver se seu certificado esta instalado corretamente nas estações.
-
Sim meu proxy é transparente, tenho em 9 clientes o pfsense e esse é o primeiro que pego esse problema.
olha os prints abaixo para ver como faço a instalação dos certificados.
abraços,
![2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)
![2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)
![2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)
![2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
![2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb) -
Quando eu falo em certificados, eu falo do certificado da unidade cerificadora do servidor. Reveja as configurações e limpe a cache de navegação dos browsers.
-
na tela abaixo voce esta querendo dizer?
o cara que criou o certificado colocou acentuação isto interfere?
abraços,
![2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png](/public/imported_attachments/1/2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png)
![2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png_thumb](/public/imported_attachments/1/2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png_thumb) -
sim mano, é isso sim tem que baixar esse certificado para as maquinas e instalar ele. do jeito que você mostrou em todos os Browser disponíveis para os usuários.
E confira ai se suas configurações. se o proxy rodando e se não esqueceu disso em Custom ACLS (Before_Auth).always_direct allow all
ssl_bump server-first all .é importante.
-
Sim @marcosmoya18 Custom ACLS estao corretas, a unica coisa que esta diferente aqui sao as informações do certificado criado que possuem acentuações, o resto esta funcional….
-
Confere seu alias e o squid.conf gerado
Se os dois estiverem corretos, com ou sem interceptação, esses sites vão passar sem interferência do proxy. -
Eu também estou passando por problemas parecidos, quando configuro o Squid3-dev + Squidguard dá problemas de certificados em todos os sites. Mesmo importando o certificado do Pfsense para o navegador.
Já instalei o Pfsense em maquina física e e também em uma maquina virtual (virtualbox) para testes e nada, segui a risca um vídeo que tem no Youtube. No vídeo em questão funciona perfeito, só que reproduzindo a mesma configuração na minha maquina, não funciona.
Estou pensando na hipótese de algum pacote ter sido modificado ou alguma atualização nos navegadores.
-
@marcelloc desculpe-me, poderia me ajudar de uma forma mais clara, por conhecer a pouco tempo em algumas coisas as vezes me perco, como faço esse procedimento?
-
só que reproduzindo a mesma configuração na minha maquina, não funciona.
Veja se está criando e importando o certificado da forma correta.
Estou pensando na hipótese de algum pacote ter sido modificado ou alguma atualização nos navegadores.
Não é o caso, continua tudo funcional, até na 2.2
-
@rvl:
@marcelloc desculpe-me, poderia me ajudar de uma forma mais clara, por conhecer a pouco tempo em algumas coisas as vezes me perco, como faço esse procedimento?
Os tutoriais disponíveis são suficientes, mas se ainda sim está com dificuldades para configurar, sugiro a você pegar algumas aulas no sysquad para aprofundar seus conhecimentos na ferramenta.