PfSense https сбор предложений

werter

А что если создать сертификат здесь и исп. его - https://www.startssl.com/  ?

yragan

Здравствуйте.
Чтоб темы не плодить, написал сюда.
Появилась задача фильтровать https.
Установил на виртуалку PfSense 2.1.5.
Поставил squid3-dev и squidGuard-squid3
Настроил, блокирует теперь всё. Но есть проблема указывает, что сертификат неверный. Если его установить как доверенный, то всё нормально.
Вопрос, может кто знает появился способ, чтоб нечего он не запрашивал, так сказать какой-нибудь обходной путь.
И конечно же проблема с мобильными устройствами, туда сертификат не удалось установить.

werter

Необходим не самоподписанный, а заверенный доверенными центрами сертификации.

yragan

@werter:

Необходим не самоподписанный, а заверенный доверенными центрами сертификации.

А вам удалось установить сертификат  от выше указанной компании?

werter

На web-сервере - да. На squid - не было такой задачи.
А у вас все условия есть для его получения? На какое имя в сети вы его регите ?

yragan

А какие условия требуются?
Я его зарегистрировал на сайт компании g-s-g.ru

anzak84

@yragan:

А какие условия требуются?
Я его зарегистрировал на сайт компании g-s-g.ru

Если без привязки к сайту. HTTPS авторизация через Captive Portal, как тогда поступить?

werter

Вам необходим сертификат подписанный реальным CA. Можно купить.

voffka_k

squid3-dev + squidGuard-squid3
2.1.5-RELEASE
Прозрачный прокси.
Создал self-signed сертификат, подвязал его к сквиду, затем при помощи GPO накатил на все рабочие станции в офисе, добавлял в доверенные корневые центры сертификации Windows, на IE, Chrome и других браузерах, которые используют виндовые центры сертификации все работает. На Mozilla Firefox и старой Opera (12.17) приходится добавлять сертификат руками, так как в этих браузерах свои хранилища сертификатов. Единственная проблема с сайтами финансовых систем и клиент-банков, они понимают, что сертификат подменный и отказываются работать, такие сайты приходится добавлять в исключение фильтрации по HTTPs.

yragan

@voffka_k:

squid3-dev + squidGuard-squid3
2.1.5-RELEASE
Прозрачный прокси.
Создал self-signed сертификат, подвязал его к сквиду, затем при помощи GPO накатил на все рабочие станции в офисе, добавлял в доверенные корневые центры сертификации Windows, на IE, Chrome и других браузерах, которые используют виндовые центры сертификации все работает. На Mozilla Firefox и старой Opera (12.17) приходится добавлять сертификат руками, так как в этих браузерах свои хранилища сертификатов. Единственная проблема с сайтами финансовых систем и клиент-банков, они понимают, что сертификат подменный и отказываются работать, такие сайты приходится добавлять в исключение фильтрации по HTTPs.

А подскажите пожалуйста, а где список исключений для фильтрации по HTTPs, в какой именно раздел это надо добавлять?

werter

В настройках squid-а.