Squid Transparente + Ssl + Whitelist - Certificado Google



  • Olá a todos.
    Estive em busca de soluções para o Squid com Ssl até que passei a utilizar o PFSense, que por sinal estou gostando bastante, apesar de gostar de usar mais o terminal do que uma UI.

    Estou utilizando o Squid Transparente com SSL, definindo Whitelist e blacklist de forma que para os sites que forem identificados como de acesso liberado sejam incluídos um a um na whitelist e na blacklist adicionado sites de notícias e outros.

    Inicialmente configurei desta forma de tratar a navegação para posteriormente habilitar o SquidGuard ou o DansGuard.

    A minha dúvida com a configuração é que quando adiciono certos sites na whitelist estes não apresentam mais o erro de certificado, porém ao adicionar o GOOGLE o erro persiste no Internet Explorer e no Firefox com a possibilidade de "confirmar", já no Chrome apresenta o erro de certificado e tem como seguir em frente.
    Sendo assim alguém já teve este tipo de problema?
    Poderiam dar uma olhada em minhas configurações?
    Obs.: Pretendemos não instalar certificado nas maquinas.











  • você tem que exportar o certificado que você criou no pfSense e instalar nos micros!
    nas configurações que eu fiz, para evitar erros, eu tive que tentar combinações de configurações da opção Certificate Adapt (atualmente estão todos marcados).



  • @UnDr3aD:

    você tem que exportar o certificado que você criou no pfSense e instalar nos micros!
    nas configurações que eu fiz, para evitar erros, eu tive que tentar combinações de configurações da opção Certificate Adapt (atualmente estão todos marcados).

    Tenho a mesma opinião.
    Só queria descobrir uma forma de fazer isto automaticamente pelo AD: Instalar o certificado manualmente em cada host é um pé. :(



  • @johnnybe:

    @UnDr3aD:

    você tem que exportar o certificado que você criou no pfSense e instalar nos micros!
    nas configurações que eu fiz, para evitar erros, eu tive que tentar combinações de configurações da opção Certificate Adapt (atualmente estão todos marcados).

    Tenho a mesma opinião.
    Só queria descobrir uma forma de fazer isto automaticamente pelo AD: Instalar o certificado manualmente em cada host é um pé. :(

    Se você possui um dominio com estações rodando Windows e o controlador de dominio também é Windows, a partir do Windows Server 2008 já é possivel fazer isso utilizando GPOs.



  • Imagino que tenha mesmo, LFCavalcanti. Sou quase um zero a esquerda com AD e Windows Server 2008. :(
    Poderia dizer como fazer isto? Já existe uma GPO ou teria que criá-la?



  • tem como sim cara.

    abra o editor da política de grupo;
    abra para edição a gpo dos computadores;
    siga: computer configuration > polices > windows settings > security settings > public key polices > Trusted root certification authorities
    chegando nesse caminho é só importar os certificados (botão direito > import)
    basta dar um gpupdate /force nos micros que já funfa (ou reinicia)

    testado aqui num ambiente server windows server 2k8 r2 com estações windows 7 e 8



  • @johnnybe:

    Imagino que tenha mesmo, LFCavalcanti. Sou quase um zero a esquerda com AD e Windows Server 2008. :(
    Poderia dizer como fazer isto? Já existe uma GPO ou teria que criá-la?

    De uma olhada em:
    http://technet.microsoft.com/en-us/library/cc738131(v=ws.10).aspx



  • Valeu, UnDr3aD e LFCavalcanti!
    Espero que funcione com estações WinXP também.



  • @johnnybe:

    Valeu, UnDr3aD!
    Espero que funcione com estações WinXP também.

    Para que GPOs exclusivas do Windows 2008 sejam aplicadas em comptuadores com Winodws XP, você precisa instalar um KB da Microsoft:
    http://www.microsoft.com/en-us/download/details.aspx?id=3628

    Você pode aplicar esse KB via Script, só usar parametros para executar a instalação silenciosamente:
    KB943729.exe /quiet /passive /norestart



  • Bom, instalar os certificados não é a questão, já que o erro de certificado não causa inacessibilidade.
    O problema é que com o Chrome não é possível acessar o Google.com.br e outros sites que possuem certificado acessam normalmente. A outra questão é que sites que estão na Whitelist acessam 100%, sem erro de certificado nem nada mas o Google.com.br não acessa.
    Tem como limpar todas as configurações do Proxy? Setar como Default.



  • Veja se o certificado está ok.
    Você liberou google.com ou google.com.br?



  • Da pra ver a whitelist na ultima foto com as liberações do google, marcello coseguiu ver as fotos e reparou se tem algo errado? e possivel ser algum bug da versão 3.38?
    Grato o feedback do pessoal tentando ajudar!



  • cara, eu estava tendo erros no google também com ssl.
    aparentemente o google e outros sites tem uma segurança ssl mais forte e por estar usando o ssl no squid dá erro. (isso foi o que aconteceu comigo)
    meu problema foi resolvido testando combinações do Certificate Adapt no squid. Hoje uso tudo marcado, mas antes tinha que ficar desmarcado o Set CN pra funfar sem erro.



  • No squid o wildcard é um ponto.
    Troque  google.com.br por .google.com.br


Log in to reply