Squid3-dev HTTP/HTTPS problema no certificado



  • Boa tarde,

    Galera

    Meu problema é o seguinte, implementei um PFsense 2.1.5 e instalei o Squid3-dev 3.3.10 pkg 2.2.6, fiz a configuração do Squid com proxy transparente e abilitei o filtro SSL, gerei um certificado interno e depois um CA. Até aí tudo funcionou perfeitamente. O próprio PFsense fazendo a assinatura do Certificado. Squid e Squid Guard funcionando perfeitamente com o único inconveniente de ter que instalar o certificado em todas as maquinas da rede. Na tentativa de resolver este problema fui atrás de um certificado válido, consegui com êxito gerar um certificado com assinatura externa no CAcert gerei a requisição de assinatura no prpoprio PFsense depois complemento com a chave que o CAcert envia.

    Aí que surge o problema o Squid passa a não startar quando uso uma CA com certificado válido externo, também fiz o teste com o certificado de 30 dias da COMODO e acontece o mesmo com o certificado do CAcert o Squid nao Starta.

    Vou postar a saida de erro do Squid e as configurações utilizadas

    Espero que possam me ajudar e agradeço muito por qualquer contribuição.

    squid: No valid signing SSL certificate configured for http_port 172.16.100.251:3128
    Oct 27 18:10:50 squid: No valid signing SSL certificate configured for http_port 172.16.100.251:3128
    Oct 27 18:10:55 php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'FATAL: No valid signing SSL certificate configured for http_port 172.16.100.251:3128 Squid Cache (Version 3.3.10): Terminated abnormally. CPU Usage: 0.023 seconds = 0.023 user + 0.000 sys Maximum Resident Size: 45600 KB Page faults with physical i/o: 0'
    Oct 27 18:10:57 squid: No valid signing SSL certificate configured for http_port 172.16.100.251:3128

    Custom ACLS (Before_Auth): always_direct allow all
                                              ssl_bump server-first all

    O detalhe que quero ressaltar é que quando o o CAcert e o Comodo enviam o certificado assinado enviam apenas um hash, mas na hora de criar uma CA ele pede o Certificate data e Certificate Private Key(optional).



  • Alguma novidade sobre o problema?

    Também tenho interesse em adquirir um certificado válido.
    Que valor você pagou?



  • Boa noite,

    Acabei desistindo por falta de informação e parti para a implementação com um CERT interno mesmo, está funcionando 100% mais com o inconveniente de ter que instalar em todas as estações. Sobre o CERT válido pode testar o COMODO por 90 dias grátis foi o teste que fiz, mais detalhe, para registrar esse certificado necessita um domínio válido.

    Qualquer novidade posta ae.

    Abraço.

    Jonas Sampaio.



  • Ok, mas tem certificado pra host né?

    Tem pra host e pra site.



  • Não existe  inconveniente  se usar GPO para distribuir os certificados nas maquinas.



  • Obrigado pela dica, esta opção é bem tranquila e também implementei, mas o problema se dá para uma implementação do tipo hot spot onde tenho os alunos com seus computadores particulares, e dai como vou instalar o cert nessas maquinas. Se tiver alguma sugestão agradeço.

    Jonas Sampaio



  • Onde Consigo um certificado para Host? Como que ele funciona gostaria de entender poderiam me dar uma ajuda.

    Obrigado!!



  • Só um detalhe sobre esta questão. O certificado precisa ser uma CA, não um certificado de host.

    Imagino que uma CA terá rapidamente seu certificado invalidado(da CA contratada ou da CA raiz que emitiu essa sub autenticadora) caso seja usada para 'falsificar' certificados de outros sites.

    O filtro ssl é uma demanda cada vez maior, e até então, mesmo em soluções pagas, vejo a necessidade de instalar o certificado. Seja via AD ou manualmente.



  • Marcelloc então não adianta eu comprar um ca válido? Pois ele seria invalidado rapidamente isso? Por mais que eu instale manualmente?

    Desde já agradeço a atenção.



  • Como nunca usei uma ca válida, não sei dizer.

    Mas até onde vi a interceptação de ssl  em ferramentas pagas,  nenhuma tem ca "válida".  Todas precisam da ca do ad(ou uma criada)  ou uma integração via cliente.