Не могу войти на 192.168.1.1, ошибка сертификата



  • Приветствую.

    Установил squid на pfscense (всё на 192.168.1.1)

    Решил настроить фильтрацию https
    Понадобилось установить сертификат

    Создал СА и сертификат, но выгрузить его не успел.

    Всё, войти по https на 192.168.1.1 не получается.
    Сертификат не подходит.

    Сертификаты (и СА и сам сертификат) выкачал через chrom. Установил их в "Доверенные корневые центры сертификации"

    Но хром пишет:
    Красным цветом:
    This page is not secure (broken HTTPS).
    Certificate - missing
    This site is missing a valid, trusted certificate (net::ERR_CERT_INVALID).
    View certificate

    Остальное зелёным:
    Connection - secure (strong TLS 1.2)
    The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_256_GCM (a strong cipher).
    Resources - all served securely
    All resources on this page are served securely.

    Как выкручиваться из подобной западни?



  • Фуф.
    Через мозиллу попробовал зайти и применить Исключения безопасности
    Вошел.
    Экспортировал сертификат СА из pfscense
    Импортировал его в ОС
    С хрома всё равно не заходит.



  • Скорее всего Вы установили СА-сертификат не в то хранилище.

    Чтобы работало с Chrome и IE, СА-сертификат, насколько мне известно, нужно устанавливать в "Local Machine" хранилище. Гляньте сюда https://thomas-leister.de/en/how-to-import-ca-root-certificate/#windows или сюда https://www.bounca.org/tutorials/install_root_certificate.html. Правда, я использую это для VPN. Возможно, для браузеров достаточно "Current User".

    FF по умолчанию использовал своё собственное хранилище. Эту настройку можно было изменить. По вышеуказанным ссылкам есть информация и о FF.

    P.S. сертификат сайта тоже должен быть сгенерирован правильно. Если URL не соответствует тому, что указано в сертификате сайта, будут проблемы.



  • Для SQUID лучше всего сертификат создавать по этой инструкции

    https://forum.it-monkey.net/index.php?PHPSESSID=9aieive592641d847m0fpk8kt6&topic=23.0



  • Ошибочка вышла. Не обратил внимание, что речь идёт о сквиде. Хотя общие правила остаются в силе.



  • @oleg1969:

    Для SQUID лучше всего сертификат создавать по этой инструкции

    https://forum.it-monkey.net/index.php?PHPSESSID=9aieive592641d847m0fpk8kt6&topic=23.0

    Спасибо.
    Сертификат заработал.
    Но понесло автора на использование "Step 5. Configuring pfSense to act as WPAD for Squid" (у меня нет особого желания пользоваться WPAD)
    и DNS Resolver.
    Было бы это на русский переведено…

    Не понимаю, зачем он "вебморду" pfSense-а перевёл на http :8080 (порт использовался в качестве примера). Почему ушёл от https?
    Еще бы правил подкинул (почта, удалёнка из WAN).



  • @Jon_777:

    Было бы это на русский переведено…

    Google Chrome переводит  довольно неплохо

    Mozilla c плагином ImTranslator  тоже

    Пример перевода в Mozilla

    Это краткая запись о том, как я получил pfSense 2.3 и 2.4-Beta, чтобы действовать как прокси-фильтр для трафика ssl и https без необходимости установки или настройки любых параметров или сертификатов на стороне клиента, все конфигурации выполняются на брандмауэре pfSense сам.
    Необходимые инструменты:

    Веб-браузер
    Шпатлевка или аналогичный консольный эмулятор
    Блокнот или Блокнот ++
    WinSCP (необязательно) дает вам графический текстовый редактор поверх ssh, хорошо для новичков

    Все шаги, описанные ниже, можно сделать непосредственно на брандмауэре, используя только подключения к графическому интерфейсу или SSH, но для новичков было бы проще использовать такие инструменты, как Notepad ++ и WinSCP, для редактирования файлов конфигурации, необходимых для этого.

    Шаг 1. Настройка корневого центра сертификации (rootCA)
    Вероятно, это часть, которая больше всего запутывает людей и почему их настройки не удались, Squid должен иметь назначенный ему CA, чтобы он мог расшифровывать части заголовка HTTPS, чтобы он мог определить, что делать с этим трафиком , в противном случае весь трафик передается.

    Я использовал встроенный инструмент openssl для pfSense для генерации этой rootCA, для этого вам нужно подключиться к вашему брандмауэру или подключиться к нему через консоль, когда в меню консоли выберите опцию 8 Shell, когда вы находитесь в командной строке, вы необходимо вручную отредактировать openssl, чтобы предоставить вам необходимые подсказки и вопросы для настройки rootCA

    vi /etc/ssl/openssl.cnf

    в параметре [REQ] измените следующую строку: prompt = no для подсказки = да
    в параметре [V3_REQ] измените следующую строку: basicConstraints = CA: FALSE на basicConstraints = CA: TRUE
    Затем сохраните и закройте (для сохранения и выхода из редактора vi используйте: wq!).
    Теперь мы сделаем известное местоположение в файловой системе, чтобы сохранить наш rootCA и ключевой файл, поскольку они должны быть импортированы в графический интерфейс pfSense на более позднем этапе, мне нравится использовать / tmp для любых временных файлов

    Команда:
    mkdir / tmp / Прокси-файлы

    Теперь перейдите в папку, которую вы создали whit:
    cd / tmp / Proxyfiles

    Когда вы перейдете в эту папку, вы готовы запустить инструмент openssl и начать создавать свой rootCA, вы начинаете генерировать свой KEY-файл, запустив команду:

    openssl genrsa -out myProxykey.key 2048

    Это создаст файл ключей rsa с именем myProxykey.key, который мы используем для подписи нашей rootCA whit в следующей команде для создания файла pem для rootCA
    Создайте подписанный ключ whit с помощью команды:

    Свернуть все

    Это заставит вас ответить на некоторые вопросы, чтобы сгенерировать необходимый файл pem, в моем случае это так, как показано ниже, вам нужно изменить это для того, где вы находитесь

    US []: НЕТ - Код страны
    Где-то []: Осло - государство или провинция
    Somecity []: Осло - Ваш город или город
    CompanyName []: IT-Monkey - название вашей компании или бизнеса, «сделайте что-нибудь, если вы являетесь домашним пользователем»
    Название организационной единицы (например, раздел) []: ИТ-отдел. Какую часть компании выдала сертификат, также можно оставить пустым
    Общее имя (например, ВАШЕ имя) []: Админ - Ваше имя или личность в компании
    Адрес электронной почты []: admin@it-monkey.local - Ваше контактное письмо

    На этом этапе у вас должно быть 2 файла в каталоге / tmp / Proxyfiles

    myProxyca.pem
    myProxykey.key



  • Сделал всё по инструкции ИТ-обезьянки.
    Но самописный-blacklist в SquidGuard не блочит сайты. =(
    Использую так же http://www.shallalist.de/Downloads/shallalist.tar.gz  Как посмотреть, какие сайты в него входят и как эти сайты редактировать?



  • Добрый.

    Использую так же http://www.shallalist.de/Downloads/shallalist.tar.gz  Как посмотреть, какие сайты в него входят и как эти сайты редактировать?

    Распаковать.

    Прим. После очередной правки конфига сквида\гварда обязательно наж. Apply.



  • Описание этого Blacklist

    http://www.shallalist.de/categories.html

    Другие Blacklists для squidguard

    http://www.squidguard.org/blacklists.html


Log in to reply