Не могу войти на 192.168.1.1, ошибка сертификата
-
Приветствую.
Установил squid на pfscense (всё на 192.168.1.1)
Решил настроить фильтрацию https
Понадобилось установить сертификатСоздал СА и сертификат, но выгрузить его не успел.
Всё, войти по https на 192.168.1.1 не получается.
Сертификат не подходит.Сертификаты (и СА и сам сертификат) выкачал через chrom. Установил их в "Доверенные корневые центры сертификации"
Но хром пишет:
Красным цветом:
This page is not secure (broken HTTPS).
Certificate - missing
This site is missing a valid, trusted certificate (net::ERR_CERT_INVALID).
View certificateОстальное зелёным:
Connection - secure (strong TLS 1.2)
The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_256_GCM (a strong cipher).
Resources - all served securely
All resources on this page are served securely.Как выкручиваться из подобной западни?
-
Фуф.
Через мозиллу попробовал зайти и применить Исключения безопасности
Вошел.
Экспортировал сертификат СА из pfscense
Импортировал его в ОС
С хрома всё равно не заходит. -
Скорее всего Вы установили СА-сертификат не в то хранилище.
Чтобы работало с Chrome и IE, СА-сертификат, насколько мне известно, нужно устанавливать в "Local Machine" хранилище. Гляньте сюда https://thomas-leister.de/en/how-to-import-ca-root-certificate/#windows или сюда https://www.bounca.org/tutorials/install_root_certificate.html. Правда, я использую это для VPN. Возможно, для браузеров достаточно "Current User".
FF по умолчанию использовал своё собственное хранилище. Эту настройку можно было изменить. По вышеуказанным ссылкам есть информация и о FF.
P.S. сертификат сайта тоже должен быть сгенерирован правильно. Если URL не соответствует тому, что указано в сертификате сайта, будут проблемы.
-
Ошибочка вышла. Не обратил внимание, что речь идёт о сквиде. Хотя общие правила остаются в силе.
-
@oleg1969:
Для SQUID лучше всего сертификат создавать по этой инструкции
https://forum.it-monkey.net/index.php?PHPSESSID=9aieive592641d847m0fpk8kt6&topic=23.0
Спасибо.
Сертификат заработал.
Но понесло автора на использование "Step 5. Configuring pfSense to act as WPAD for Squid" (у меня нет особого желания пользоваться WPAD)
и DNS Resolver.
Было бы это на русский переведено…Не понимаю, зачем он "вебморду" pfSense-а перевёл на http :8080 (порт использовался в качестве примера). Почему ушёл от https?
Еще бы правил подкинул (почта, удалёнка из WAN). -
Сделал всё по инструкции ИТ-обезьянки.
Но самописный-blacklist в SquidGuard не блочит сайты. =(
Использую так же http://www.shallalist.de/Downloads/shallalist.tar.gz Как посмотреть, какие сайты в него входят и как эти сайты редактировать? -
Добрый.
Использую так же http://www.shallalist.de/Downloads/shallalist.tar.gz Как посмотреть, какие сайты в него входят и как эти сайты редактировать?
Распаковать.
Прим. После очередной правки конфига сквида\гварда обязательно наж. Apply.