Добавление корневого сертификата



  • Добрый день,
    Использую версию 2.2.2-RELEASE (x64), столкнулся со следующей проблемой:
    при включенной опции "HTTPS/SSL interception" не открывается сайт https://online.sberbank.ru/

    
    При получении URL https://online.sberbank.ru/* произошла следующая ошибка
    Не удалось установить безопасное соединение с 194.54.14.131
    The system returned:
    (92) Protocol error (TLS code: X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN)
    Self-signed SSL Certificate in chain: /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
    
    

    Как я понял, эта ошибка возникает из-за того, что корневого сертификата из цепочки этого сервера нет в pfSense.
    Вопрос: как его туда добавить?

    Заранее благодарен.



  • при включенной опции "HTTPS/SSL interception"

    У Вас сквид с https-фильтрацией ?



  • @werter:

    У Вас сквид с https-фильтрацией ?

    Да, squid3 ver 3.4.10_2 pkg 0.2.8



  • Добавьте адрес сервера СБ в иcключения Squid-а (в Destination address).



  • @werter:

    Добавьте адрес сервера СБ в иcключения Squid-а (в Destination address).

    Я в курсе этой возможности, равно как и возможности отключения проверки сертификатов.
    Интересует именно добавление корневого сертификата в список доверенных.



  • Как я понял, эта ошибка возникает из-за того, что корневого сертификата из цепочки этого сервера нет в pfSense.

    Думаю, что ошиблись. Именно Ваш сертификат для криптованного трафика - самоподписанный. Браузер на это и ругается.

    Интересует именно добавление корневого сертификата в список доверенных.

    Добавьте свой самоподпис. сертификат себе в локальное хранилище. Если же у вас домен, то создайте груп. политику по добавлению этого сертификата пол-лям. И опять же , смотря в каком браузере просматривать страницу СБ после этого.
    Могут быть ньюансы.

    Я в курсе этой возможности, равно как и возможности отключения проверки сертификатов.

    Не пойму в чем проблема тогда? Вам необходимо отреверсить трафик от СБ ?



  • @werter:

    Думаю, что ошиблись. Именно Ваш сертификат для криптованного трафика - самоподписанный. Браузер на это и ругается.

    Добавьте свой самоподпис. сертификат себе в локальное хранилище. Если же у вас домен, то создайте груп. политику по добавлению этого сертификата пол-лям.

    Не пойму в чем проблема тогда? Вам необходимо отреверсить трафик от СБ ?

    Прошу обратить внимание на ошибку, указанную в первом посте:
    ругается именно pfsense и именно на сертификат thawte, а не браузер на самоподписанный сертификат.
    Другие сайты, которые я пробовал, открываются нормально без всяких предупреждений\ошибок, так как мой корневой сертификат включен в политики домена.



  • Попробуйте в англоветке задать этот вопрос.



  • https://forum.pfsense.org/index.php?topic=90365.msg499790#msg499790
    Скрин настроек посмотрите. У Вас так ?