Problema certifcado de autoridad, error de certificado en proxy transparente



  • Hola comunidad, tengo un problema con mi proxy squid tengo configurado mi pfsense con squid3-dv con intercepción SSL y squidGuard3, resulta que funciona perfectamente el squid, filtra tanto http, como https, solucione el problema con los sitios de google, funciona ok el proxy, pero para lograr que funcione perfectamente es necesario que los navegadores de los clientes confien en el proxy, eso se logra instalando el certificado de C.A. creado en pfsense en el navegador en cuestión y problema solucionado.
              Ahora mi problema es el siguiente, la distribución e instalación del certificado en los navegadores de los usuarios que son cerca de 150, instalar uno por uno no es rentable, existe alguna función que permita que el squid en modo transparente envié los certificados, de manera automática a los dispositivos que utilicen la red, osea ellos se conectan a la red y se les envía el certificado y ellos lo acepten.
              Podría que ser que quizá en modo transparente no se puede realizar el envio del certificado por que los host desconocen la existencia del proxy, pero si con el proxy en modo no transparente, se pueda mandar el certificado  con alguna función de squid, configurarlo para que envie los certificados a los host, es esto posible en pfsense, o tendre que configurar manualmente squid en otro sistema operativo, que si tenga esa función.
    SI se puede mandar el certificado tengo que encontrar la ruta de ese certificado, busque en la shell y encontre que en etc/ssl/ hay un archivo cert.pem.        Porfavor ayuda. Saludos.



  • @lupox:

    la distribución e instalación del certificado en los navegadores de los usuarios que son cerca de 150, instalar uno por uno no es rentable, existe alguna función que permita que el squid en modo transparente envié los certificados, de manera automática a los dispositivos que utilicen la red, osea ellos se conectan a la red y se les envía el certificado y ellos lo acepten.

    No que yo sepa. Eso es inherente a los navegadores. Entiendo que si fuera posible automatizar esto quedaría en entredicho la seguridad del navegador.