Не могу войти на 192.168.1.1, ошибка сертификата



  • Приветствую.

    Установил squid на pfscense (всё на 192.168.1.1)

    Решил настроить фильтрацию https
    Понадобилось установить сертификат

    Создал СА и сертификат, но выгрузить его не успел.

    Всё, войти по https на 192.168.1.1 не получается.
    Сертификат не подходит.

    Сертификаты (и СА и сам сертификат) выкачал через chrom. Установил их в "Доверенные корневые центры сертификации"

    Но хром пишет:
    Красным цветом:
    This page is not secure (broken HTTPS).
    Certificate - missing
    This site is missing a valid, trusted certificate (net::ERR_CERT_INVALID).
    View certificate

    Остальное зелёным:
    Connection - secure (strong TLS 1.2)
    The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_256_GCM (a strong cipher).
    Resources - all served securely
    All resources on this page are served securely.

    Как выкручиваться из подобной западни?



  • Фуф.
    Через мозиллу попробовал зайти и применить Исключения безопасности
    Вошел.
    Экспортировал сертификат СА из pfscense
    Импортировал его в ОС
    С хрома всё равно не заходит.



  • Скорее всего Вы установили СА-сертификат не в то хранилище.

    Чтобы работало с Chrome и IE, СА-сертификат, насколько мне известно, нужно устанавливать в "Local Machine" хранилище. Гляньте сюда https://thomas-leister.de/en/how-to-import-ca-root-certificate/#windows или сюда https://www.bounca.org/tutorials/install_root_certificate.html. Правда, я использую это для VPN. Возможно, для браузеров достаточно "Current User".

    FF по умолчанию использовал своё собственное хранилище. Эту настройку можно было изменить. По вышеуказанным ссылкам есть информация и о FF.

    P.S. сертификат сайта тоже должен быть сгенерирован правильно. Если URL не соответствует тому, что указано в сертификате сайта, будут проблемы.



  • Ошибочка вышла. Не обратил внимание, что речь идёт о сквиде. Хотя общие правила остаются в силе.



  • @oleg1969:

    Для SQUID лучше всего сертификат создавать по этой инструкции

    https://forum.it-monkey.net/index.php?PHPSESSID=9aieive592641d847m0fpk8kt6&topic=23.0

    Спасибо.
    Сертификат заработал.
    Но понесло автора на использование "Step 5. Configuring pfSense to act as WPAD for Squid" (у меня нет особого желания пользоваться WPAD)
    и DNS Resolver.
    Было бы это на русский переведено…

    Не понимаю, зачем он "вебморду" pfSense-а перевёл на http :8080 (порт использовался в качестве примера). Почему ушёл от https?
    Еще бы правил подкинул (почта, удалёнка из WAN).



  • Сделал всё по инструкции ИТ-обезьянки.
    Но самописный-blacklist в SquidGuard не блочит сайты. =(
    Использую так же http://www.shallalist.de/Downloads/shallalist.tar.gz  Как посмотреть, какие сайты в него входят и как эти сайты редактировать?



  • Добрый.

    Использую так же http://www.shallalist.de/Downloads/shallalist.tar.gz  Как посмотреть, какие сайты в него входят и как эти сайты редактировать?

    Распаковать.

    Прим. После очередной правки конфига сквида\гварда обязательно наж. Apply.


Log in to reply