Certificados Digitais de Site + Squid3-Dev + Squidguard-Squid3



  • Após a instalação do PFsense com Squid3-dev + Squidguard-squid3, os sites com certificados digitais não estão funcionando, eles foram adicionados aos sites liberados e estão acessando apenas, não estamos conseguindo logar nos sites como justiça federal, no geral é uma contabilidade e por isso quase todos acessam esses sites da receita com certificado.

    Poderiam ajudar com a solução?



  • Coloque esses sites na whitelist para não fazer a interceptação de ssl.



  • Isso em Proxy Server > ACL correto? No squidguard não preciso alterar nada?



  • @rvl:

    Isso em Proxy Server > ACL correto? No squidguard não preciso alterar nada?

    Isso.



  • Marcelo se criar um aliases e colocar em Bypass proxy for these destination IPs não teria o mesmo efeito?



  • @marcosmoya18:

    Marcelo se criar um aliases e colocar em Bypass proxy for these destination IPs não teria o mesmo efeito?

    Se estiver usando proxy transparente sim.



  • BOm dia!

    Marcelloc fiz o que passou porem alguns sites ainda continuam aparecendo a tela conforme o print abaixo, sera que precisa fazer mais alguma coisa?




  • Veja o emissor do certificado para ter certeza se é o certificado original ou o do squid.



  • Marcelloc,

    quando eu tiro o bloqueio volta ao normal conforme as telas abaixo, quando eu volto o bloqueio veja as telas abaixo.

    abraços,

    ![2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_06_37-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)
    ![2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_06_53-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)
    ![2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_07_46-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)
    ![2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_07_54-contabilcometa.dyndns.org_6000 - Conexão de Área de Trabalho Remota.png_thumb)



  • mano seu proxy é transparente? Se sim tenta ver se seu certificado esta instalado corretamente nas estações.



  • Sim meu proxy é transparente, tenho em 9 clientes o pfsense e esse é o primeiro que pego esse problema.

    olha os prints abaixo para ver como faço a instalação dos certificados.

    abraços,

    ![2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_30_44-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)
    ![2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_31_05-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)
    ![2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_31_25-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)
    ![2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png](/public/imported_attachments/1/2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png)
    ![2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb](/public/imported_attachments/1/2015-01-21 10_31_43-contabilcometa.dyndns.org_3388 - Conexão de Área de Trabalho Remota.png_thumb)



  • Quando eu falo em certificados, eu falo do certificado da unidade cerificadora do servidor. Reveja as configurações e limpe a cache de navegação dos browsers.



  • @marcosmoya18,

    na tela abaixo voce esta querendo dizer?

    o cara que criou o certificado colocou acentuação isto interfere?

    abraços,

    ![2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png](/public/imported_attachments/1/2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png)
    ![2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png_thumb](/public/imported_attachments/1/2015-01-21 11_36_21-fwcometa.cometa.local - System_ Certificate Authority Manager.png_thumb)



  • sim mano, é isso sim tem que baixar esse certificado para as maquinas e instalar ele. do jeito que você mostrou em todos os Browser disponíveis para os usuários.
    E confira ai se suas configurações. se o proxy rodando e se não esqueceu disso em Custom ACLS (Before_Auth).

    always_direct allow all
    ssl_bump server-first all .

    é importante.



  • Sim @marcosmoya18 Custom ACLS estao corretas, a unica coisa que esta diferente aqui sao as informações do certificado criado que possuem acentuações, o resto esta funcional….



  • Confere seu alias e o squid.conf gerado
    Se os dois estiverem corretos,  com ou sem interceptação,  esses sites vão passar sem interferência do proxy.



  • Eu também estou passando por problemas parecidos, quando configuro o Squid3-dev + Squidguard dá problemas de certificados em todos os sites. Mesmo importando o certificado do Pfsense para o navegador.

    Já instalei o Pfsense em maquina física e e também em uma maquina virtual (virtualbox) para testes e nada, segui a risca um vídeo que tem no Youtube. No vídeo em questão funciona perfeito, só que reproduzindo a mesma configuração na minha maquina, não funciona.

    Estou pensando na hipótese de algum pacote ter sido modificado ou alguma atualização nos navegadores.



  • @marcelloc desculpe-me, poderia me ajudar de uma forma mais clara, por conhecer a pouco tempo em algumas coisas as vezes me perco, como faço esse procedimento?



  • @LeaoNarrdo:

    só que reproduzindo a mesma configuração na minha maquina, não funciona.

    Veja se está criando e importando o certificado da forma correta.

    @LeaoNarrdo:

    Estou pensando na hipótese de algum pacote ter sido modificado ou alguma atualização nos navegadores.

    Não é o caso, continua tudo funcional, até na 2.2



  • @rvl:

    @marcelloc desculpe-me, poderia me ajudar de uma forma mais clara, por conhecer a pouco tempo em algumas coisas as vezes me perco, como faço esse procedimento?

    Os tutoriais disponíveis são suficientes, mas se ainda sim está com dificuldades para configurar, sugiro a você pegar algumas aulas no sysquad para aprofundar seus conhecimentos na ferramenta.


Log in to reply