Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
No meu nao existe nenhum destes diretorios, isso é normal?
Não, eles deveriam existir.
É neste diretório que ficam os certificados das CAS confiáveis do mundo inteiro.
-
Não consigo acessar o gmail usando a SSL habilitada
Confere os diretorios que postei logo acima.
"O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..
A whitelist do squid não tem *, só o .gmail.com
-
O mantenedor finalmente atualizou o squid 3.3.5 no ports do freebsd e hoje o jimp disponibilizou-o no repositório oficial.
Atualizei o procedimento de instalação no primerio post deste tópico.
-
Marcelo,
não tenho esse diretório na versão 2.1
ls /usr/local/share/certs/apesar de usar certificados para o openvpn.
-
não tenho esse diretório na versão 2.1
Veja se não está em /usr/pbi/squid-amd64/share/certs
ou um find / -name certs
-
sim..
eles estão no diretorio
/usr/pbi/squid-i386/share/certsmas o erro continua.. não consigo usar o gmail..
-
sim..
eles estão no diretorio
/usr/pbi/squid-i386/share/certsveja no squid.conf qual pasta certs está configurada.
no meu está apontando para a pasta correta:
http_port 172.xx:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/00673b5b.0 1e8e7201.0 3e7271e8.0 5e4e69e7.0 7a481e66.0 95aff9e3.0 bc3f2570.0 d16a5865.0 ee7cd6fb.0 02b73561.0 1eb37bdf.0 40dc992e.0 5f47b495.0 7a819ef2.0 9685a493.0 bcdd5959.0 d537fba6.0 ee90b008.0 052e396b.0 219d9499.0 418595b9.0 60afe812.0 7d3cd826.0 9772ca32.0 bda4cc84.0 d59297b8.0 f4996e82.0 08aef7bb.0 23f4c490.0 46b2fd3b.0 635ccfd5.0 7d453d8f.0 9d6523ce.0 bdacca6f.0 d64f06f3.0 f559733c.0 0d188d89.0 27af790d.0 48a195d8.0 67495436.0 81b9768f.0 9dbefe7b.0 bf64f35b.0 d78a75c7.0 f58a60fe.0 10531352.0 2afc57aa.0 4d654d1d.0 69105f4f.0 82223c44.0 9ec3a561.0 c19d42c7.0 d8274e24.0 f61bff45.0 111e6273.0 2d9dafe4.0 4e18c148.0 6adf0799.0 8317b10c.0 9f533518.0 c215bc69.0 dbc54cab.0 f80cc7f6.0 1155c94b.0 2edf7016.0 4fbd6bfa.0 6e8bf996.0 8470719d.0 a0bc6fbb.0 c33a80d4.0 ddc328ff.0 fac084d7.0 119afc2e.0 2fa87019.0 5021a0a2.0 6fcc125d.0 84cba82f.0 a15b3b6b.0 c3a6a9ad.0 e268a4c5.0 facacbc6.0 11a09b38.0 2fb1850a.0 5046c355.0 72f369af.0 85cde254.0 a2df7ad7.0 c51c224c.0 e48193cf.0 fb126c6d.0 11f154d6.0 33815e15.0 524d9b43.0 72fa7371.0 86212b19.0 a3896b44.0 c527e4ab.0 e60bf0c0.0 fde84897.0 124bbd54.0 343eb6cb.0 56b8a0b6.0 74c26bd0.0 87753b0d.0 a7605362.0 c7e2a638.0 e775ed2d.0 ff588423.0 12d55845.0 399e7759.0 57692373.0 755f7420.0 882de061.0 a7d2cf64.0 c8763593.0 e7b8d656.0 ff783690.0 17b51fe6.0 3a3b02ce.0 58a44af1.0 75680d2e.0 895cad1a.0 ab5346f4.0 ca-root-nss.crt e8651083.0 1dac3003.0 3ad48a91.0 594f1775.0 7651b327.0 89c02a45.0 add67345.0 ccb919f9.0 ea169617.0 1dcd6f4c.0 3c58f906.0 5a3f0ff8.0 76579174.0 8f7b96c4.0 aeb67534.0 ccc52f49.0 eb375c3e.0 1df5ec47.0 3c860d51.0 5a5372fc.0 7672ac4b.0 91739615.0 b0f3e76e.0 cdaebb72.0 ed524cf5.0 1e1eab7c.0 3d441de8.0 5cf9d536.0 7999be0d.0 9339512a.0 b7db1890.0 cf701eeb.0 ed62f4e3.0 -
veja aqui
# This file is automatically generated by pfSense # Do not edit manually ! http_port 192.168.1.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/ http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/ https_port 127.0.0.1:3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/veja o erro do google e o tweetdesk não conecta..
-
Tem certeza que você instalou o CRT da CA nesta máquina como unidade certificadora confiável?
-
desculpe,
mas tenho que ter um CA de uma autoridade certificadora ?? eu usei o mesmo que faço para o openvpn
que criei no pfsense. -
Você precisa de uma CA configurada no pfSense MaS enquanto você não instalar o certificado desta CA no seu browser/computador como CA confiável, seu browser não vai confiar nela.
Este procedimento esta descrito no primeiro post.
-
instalei..o certificado
funcionou somente no IE.. no chrome não.. ainda apresenta a mensagem..
exclui até o cache do navegador e no squidaproveitando a deixa.. pq não cria uma opção para que o usuario limpar o cache do squid
sem ser via console.. não seria uma boa ideia ? -
Bom dia
Efetuei a ativação do squid3-dev com filtro https. Porém mesmo com o certificado instalado na pasta de autoridades de certificação raiz confiáveis apresenta está mensagem de erro que está em anexo.
Algumas maquinas o certificado instala mais não aparece na pasta.
Já coloquei os sites na whitelist porém continua a mensagem de erro.
Tive que desabilitar o filtro https para conseguir usar o exchange pois a mensagem aparecia de 5 em 5 min.
Alguém teve este problema?
 -
@LCantano:
Tive que desabilitar o filtro https para conseguir usar o exchange pois a mensagem aparecia de 5 em 5 min.
Alguém teve este problema?
O erro diz que o certificado do seu exchange não é confiável.
Você pode marcar a opção de ignorar erros de certificado na configuração do squid. Não é recomendado, mas resolve seu problema.
Veja se a url de acesso do exchange esta correta na whitelist.
-
O erro diz que o certificado do seu exchange não é confiável.
Você pode marcar a opção de ignorar erros de certificado na configuração do squid. Não é recomendado, mas resolve seu problema.
Veja se a url de acesso do exchange esta correta na whitelist.
Bom dia
Referente ao erro no certificado do exchange não consigo tornar ele confiável importando o mesmo de alguma maneira para o pf?
Marcar a opção de ignorar erros só vai ocultar o problema não é isso? Fiz o procedimento porém o exchange não consegue ficar conectado. Fica perdendo conexão constantemente. Qual seria a maneira correta para resolver essa situação?
As URLs tanto do exchange como do site da prefeitura que neste casso precisa usar certificado digital também consta na whitelist tanto do squid como no squidguard e mesmo assim apresenta erro no acesso. Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?
-
@LCantano:
Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?
Correto!
-
@LCantano:
Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?
Correto!
Bom dia Marcelo
Não sei por qual motivo os sites não estavam sendo liberados, porém efetuei a reinicialização do pfsense, removi os sites e salvei, inclui os sites novamente e salvei e agora aparentemente não está mais aparecendo a mensagem de erro. Creio eu que foi algum bug na hora de salvar as whitelist.
Vou continuar efetuando testes com ele em produção e posto como foi.
Obrigado mais uma vez…
-
@LCantano:
Vou continuar efetuando testes com ele em produção e posto como foi.
Não esqueça de olhar os logs do squid.
-
@LCantano:
Vou continuar efetuando testes com ele em produção e posto como foi.
Não esqueça de olhar os logs do squid.
Para acompanhar os logs do squid só através do console ou pelo lightsquid da pra faze-lo?
-
@LCantano:
Para acompanhar os logs do squid só através do console ou pelo lightsquid da pra faze-lo?
O squid3-dev tem uma aba realtime para isso.
Na console é o melhor debug, mas via interface gráfica também da para fazer.
