Squid Transparente + Ssl + Whitelist - Certificado Google
-
Olá a todos.
Estive em busca de soluções para o Squid com Ssl até que passei a utilizar o PFSense, que por sinal estou gostando bastante, apesar de gostar de usar mais o terminal do que uma UI.Estou utilizando o Squid Transparente com SSL, definindo Whitelist e blacklist de forma que para os sites que forem identificados como de acesso liberado sejam incluídos um a um na whitelist e na blacklist adicionado sites de notícias e outros.
Inicialmente configurei desta forma de tratar a navegação para posteriormente habilitar o SquidGuard ou o DansGuard.
A minha dúvida com a configuração é que quando adiciono certos sites na whitelist estes não apresentam mais o erro de certificado, porém ao adicionar o GOOGLE o erro persiste no Internet Explorer e no Firefox com a possibilidade de "confirmar", já no Chrome apresenta o erro de certificado e tem como seguir em frente.
Sendo assim alguém já teve este tipo de problema?
Poderiam dar uma olhada em minhas configurações?
Obs.: Pretendemos não instalar certificado nas maquinas.
-
você tem que exportar o certificado que você criou no pfSense e instalar nos micros!
nas configurações que eu fiz, para evitar erros, eu tive que tentar combinações de configurações da opção Certificate Adapt (atualmente estão todos marcados). -
@UnDr3aD:
você tem que exportar o certificado que você criou no pfSense e instalar nos micros!
nas configurações que eu fiz, para evitar erros, eu tive que tentar combinações de configurações da opção Certificate Adapt (atualmente estão todos marcados).Tenho a mesma opinião.
Só queria descobrir uma forma de fazer isto automaticamente pelo AD: Instalar o certificado manualmente em cada host é um pé. :( -
@UnDr3aD:
você tem que exportar o certificado que você criou no pfSense e instalar nos micros!
nas configurações que eu fiz, para evitar erros, eu tive que tentar combinações de configurações da opção Certificate Adapt (atualmente estão todos marcados).Tenho a mesma opinião.
Só queria descobrir uma forma de fazer isto automaticamente pelo AD: Instalar o certificado manualmente em cada host é um pé. :(Se você possui um dominio com estações rodando Windows e o controlador de dominio também é Windows, a partir do Windows Server 2008 já é possivel fazer isso utilizando GPOs.
-
Imagino que tenha mesmo, LFCavalcanti. Sou quase um zero a esquerda com AD e Windows Server 2008. :(
Poderia dizer como fazer isto? Já existe uma GPO ou teria que criá-la? -
tem como sim cara.
abra o editor da política de grupo;
abra para edição a gpo dos computadores;
siga: computer configuration > polices > windows settings > security settings > public key polices > Trusted root certification authorities
chegando nesse caminho é só importar os certificados (botão direito > import)
basta dar um gpupdate /force nos micros que já funfa (ou reinicia)testado aqui num ambiente server windows server 2k8 r2 com estações windows 7 e 8
-
Imagino que tenha mesmo, LFCavalcanti. Sou quase um zero a esquerda com AD e Windows Server 2008. :(
Poderia dizer como fazer isto? Já existe uma GPO ou teria que criá-la?De uma olhada em:
http://technet.microsoft.com/en-us/library/cc738131%28v=ws.10%29.aspx -
Valeu, UnDr3aD e LFCavalcanti!
Espero que funcione com estações WinXP também. -
Valeu, UnDr3aD!
Espero que funcione com estações WinXP também.Para que GPOs exclusivas do Windows 2008 sejam aplicadas em comptuadores com Winodws XP, você precisa instalar um KB da Microsoft:
http://www.microsoft.com/en-us/download/details.aspx?id=3628Você pode aplicar esse KB via Script, só usar parametros para executar a instalação silenciosamente:
KB943729.exe /quiet /passive /norestart -
Bom, instalar os certificados não é a questão, já que o erro de certificado não causa inacessibilidade.
O problema é que com o Chrome não é possível acessar o Google.com.br e outros sites que possuem certificado acessam normalmente. A outra questão é que sites que estão na Whitelist acessam 100%, sem erro de certificado nem nada mas o Google.com.br não acessa.
Tem como limpar todas as configurações do Proxy? Setar como Default. -
Veja se o certificado está ok.
Você liberou google.com ou google.com.br? -
Da pra ver a whitelist na ultima foto com as liberações do google, marcello coseguiu ver as fotos e reparou se tem algo errado? e possivel ser algum bug da versão 3.38?
Grato o feedback do pessoal tentando ajudar! -
cara, eu estava tendo erros no google também com ssl.
aparentemente o google e outros sites tem uma segurança ssl mais forte e por estar usando o ssl no squid dá erro. (isso foi o que aconteceu comigo)
meu problema foi resolvido testando combinações do Certificate Adapt no squid. Hoje uso tudo marcado, mas antes tinha que ficar desmarcado o Set CN pra funfar sem erro. -
No squid o wildcard é um ponto.
Troque google.com.br por .google.com.br