Certificat client–squid- squidguard



  • Bonjour

    je gère un parc informatique dans une ecole, jai installé Squid et squidGuard pour que je filtre les URL HTTP et HTTPS,et j'ai configurer WPAD, pour le moment ya  aucun problème

    mon souci c'est que a chaque fois un nouveau utilisateur veut connecté a Internet je suis obliger d'ajouter la certificat de proxy sur le poste client pour éviter le message d'erreur de certificat.

    esqu'il ya une possibilité pour éviter a chaque fois d’ajouté  la certificat ??

    esque cette manipulation peu ce faire d'une manière automatique ?

    Merci



  • L'automatisation va dépendre des outils dont tu disposes.
    Si les machines sont dans un domaine Windows avec de GPO, c'est plus facile.
    Ou si tu utilises Puppet…

    Une autre solution consiste à mettre à disposition sur un serveur local le certificat en question et à demander à l'utilisateur de l'installer depuis cette page web.



  • Merci pour votre réponse
    Pour les machines qui sont sur le domaine j'ai créer un GPO et sa fonctionne tres bien

    mais pour les autres machines qui sont en wifi s'est des PC personnel il sont pas dans un domaine



  • Pour ces machine "non gérées", il est possible de créer une page web avec quelques lignes d'explications et un lien vers le certificat.
    Il suffit alors à l'utilisateur de cliquer sur le lien pour se voir proposer d'installer ce certificat.

    La difficulté consiste alors à informer ces utilisateurs qu'il faut aller sur cette page pour installer le certificat: une solution de contournement consiste à mettre en œuvre un portail captif avec une page qui propose le certificat.



  • En dépit des réponses fournies, cette problématique n'a rien à voir avec Pfsense. Elle serait à sa place dans un forum squid.



  • Encore plus simplement :

    Si votre certificat n'était pas auto-signer vous n'aurriez pas ce problème …



  • Je n'ai pas répondu en 20' parce que

    • (je ne suis pas sur le site chaque 20')
    • je ne voyais pas le lien entre pfSense et ce problème,
    • quand on défini, manuellement ou automatiquement (par wpad), un proxy, il n'y a QUE le véritable certificat du site visité qui est fourni.
    • ici la problématique est d'installer un certificat 'firewall' sur le client.

    Clairement si c'est le même certificat (celui du firewall) qui sert pour toutes connexions https, c'est que le firewall est en mode transparent et qu'est utilisé SSLBUMP.
    Et là je ne comprends pas le déploiement de wpad !

    Personnellement, si, sur un site pro, j'accédais à un service bancaire ou boursier, personnel, et que j'observais que le certificat n'est pas le bon,
    j'en déduirai que l'on peut espionner TOUTES mes connexions en https. Et là je ferais très sérieux la gueule !

    Bref c'est un choix que JAMAIS je ne ferai pour mon entreprise.



  • Contrairement aux apparences, SSL-Bump n'est pas réservé au proxy en mode transparent.
    ça n'a d’ailleurs rien à voir  ;)

    SSL6bump se charge d'intercepter le flux HTTPS (je suis d'accord qu'on peut se demander si c'est tout le temps bien légitime mais pas exemple en entreprise c'est acceptable si clairement communiqué) afin par exemple de faire de la détection de virus.

    Les version récentes de Squid (à partir de la 3.5 je crois) permettent de configurer des exceptions pour justement ne pas intercepter certains flux.

    Donc oui WPAD et SSL-Bump font bon ménage  8)


Log in to reply