Pfsense+squid+SSL Man In the Middle Filtering

6en9er

Добрый день. Хочу организовать транспорентный прокси на https. Загвоздка в CA. Если создать CA в самом pfsense то все работает. Я же хочу использовать сторонний CA, который у меня в домене. Я Добавил в pfsense сертификат и приватный ключ. Могу создавать новые сертификаты на основе этого CA. Но если использовать его в SSL Man In the Middle Filtering, служба squid не запускается. Что это может быть?
PFsense 2.3.1-RELEASE (amd64) squid-3.5.19

werter

Доброе
Вы Ваш CA в пф добавили ?

6en9er

Да. И сертификат и ключ.

auto2015

Добрый день.
Аналогично с сертификатом, выпущенным самим pfsense, все работает, с импортированным сертификатом - нет.
Версия pfsense 2.3.1-RELEASE-p1 (amd64).

Не нашли решение?

werter

Что в логах?
Поискать в англю ветки и среди багов в roadmap. Если нет - создать баг-репорт, чтобы пофиксили.

auto2015

В логах:
/pkg_edit.php: The command '/usr/local/sbin/squid -k reconfigure -f /usr/local/etc/squid/squid.conf' returned exit code '1', the output was 'FATAL: No valid signing SSL certificate configured for HTTP_port 192.168.1.1:3128 Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.044 seconds = 0.037 user + 0.007 sys Maximum Resident Size: 62320 KB Page faults with physical i/o: 0'

Сертификаты сравнивал, основное различие: алгоритм подписи сертификата из pfsense sha256rsa, а импортированного центра сертификации sha1rsa (центр сертификации на старенькой windows server 2003). Несколько лет назад были новости об отказе в использовании sha1 , может быть проблема в этом?

В английской ветке и вообще по интернету сегодня целый день ищу, пока ничего не нашел, на тему же эту утром как раз во время поиска и наткнулся.

werter

Такое чувство, что не виден\не сопоставлен корректно CA и cert.

6en9er

У меня sha256rsa на сервере сертификации, так что не в этом проблема.
По поводу сопоставления не очень понятно. В squid выбирается только CA. Cer там нигде не выбирается.

auto2015

Кажется разобрался.
В менеджере сертификатов надо для импортированного сертификата и ключа добавить пустую строку в конец (после –---END CERTIFICATE----- и -----END PRIVATE KEY----- )

p.s.: сам сертификат squid сохраняет в /usr/local/etc/squid/serverkey.pem - можно проверить содержимое, еще в темах по squid встречал упоминание, что сертификат иногда приходится вручную перезаписывать, чтобы корректно заработало.

6en9er

Вы гений! все заработало после добавления пустой строки.