Pfsense+squid+SSL Man In the Middle Filtering



  • Добрый день. Хочу организовать транспорентный прокси на https. Загвоздка в CA. Если создать CA в самом pfsense то все работает. Я же хочу использовать сторонний CA, который у меня в домене. Я Добавил в pfsense сертификат и приватный ключ. Могу создавать новые сертификаты на основе этого CA. Но если использовать его в SSL Man In the Middle Filtering, служба squid не запускается. Что это может быть?
    PFsense 2.3.1-RELEASE (amd64) squid-3.5.19



  • Доброе
    Вы Ваш CA в пф добавили ?



  • Да. И сертификат и ключ.



  • Добрый день.
    Аналогично с сертификатом, выпущенным самим pfsense, все работает, с импортированным сертификатом - нет.
    Версия pfsense 2.3.1-RELEASE-p1 (amd64).

    Не нашли решение?



  • Что в логах?
    Поискать в англю ветки и среди багов в roadmap. Если нет - создать баг-репорт, чтобы пофиксили.



  • В логах:
    /pkg_edit.php: The command '/usr/local/sbin/squid -k reconfigure -f /usr/local/etc/squid/squid.conf' returned exit code '1', the output was 'FATAL: No valid signing SSL certificate configured for HTTP_port 192.168.1.1:3128 Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.044 seconds = 0.037 user + 0.007 sys Maximum Resident Size: 62320 KB Page faults with physical i/o: 0'

    Сертификаты сравнивал, основное различие: алгоритм подписи сертификата из pfsense sha256rsa, а импортированного центра сертификации sha1rsa (центр сертификации на старенькой windows server 2003). Несколько лет назад были новости об отказе в использовании sha1 , может быть проблема в этом?

    В английской ветке и вообще по интернету сегодня целый день ищу, пока ничего не нашел, на тему же эту утром как раз во время поиска и наткнулся.



  • Такое чувство, что не виден\не сопоставлен корректно CA и cert.



  • У меня sha256rsa на сервере сертификации, так что не в этом проблема.
    По поводу сопоставления не очень понятно. В squid выбирается только CA. Cer там нигде не выбирается.



  • Кажется разобрался.
    В менеджере сертификатов надо для импортированного сертификата и ключа добавить пустую строку в конец (после –---END CERTIFICATE----- и -----END PRIVATE KEY----- )

    p.s.: сам сертификат squid сохраняет в /usr/local/etc/squid/serverkey.pem - можно проверить содержимое, еще в темах по squid встречал упоминание, что сертификат иногда приходится вручную перезаписывать, чтобы корректно заработало.



  • Вы гений! все заработало после добавления пустой строки.