Добавление корневого сертификата

alper

Добрый день,
Использую версию 2.2.2-RELEASE (x64), столкнулся со следующей проблемой:
при включенной опции "HTTPS/SSL interception" не открывается сайт https://online.sberbank.ru/

При получении URL https://online.sberbank.ru/* произошла следующая ошибка
Не удалось установить безопасное соединение с 194.54.14.131
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN)
Self-signed SSL Certificate in chain: /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com

Как я понял, эта ошибка возникает из-за того, что корневого сертификата из цепочки этого сервера нет в pfSense.
Вопрос: как его туда добавить?

Заранее благодарен.

werter

при включенной опции "HTTPS/SSL interception"

У Вас сквид с https-фильтрацией ?

alper

@werter:

У Вас сквид с https-фильтрацией ?

Да, squid3 ver 3.4.10_2 pkg 0.2.8

werter

Добавьте адрес сервера СБ в иcключения Squid-а (в Destination address).

alper

@werter:

Добавьте адрес сервера СБ в иcключения Squid-а (в Destination address).

Я в курсе этой возможности, равно как и возможности отключения проверки сертификатов.
Интересует именно добавление корневого сертификата в список доверенных.

werter

Как я понял, эта ошибка возникает из-за того, что корневого сертификата из цепочки этого сервера нет в pfSense.

Думаю, что ошиблись. Именно Ваш сертификат для криптованного трафика - самоподписанный. Браузер на это и ругается.

Интересует именно добавление корневого сертификата в список доверенных.

Добавьте свой самоподпис. сертификат себе в локальное хранилище. Если же у вас домен, то создайте груп. политику по добавлению этого сертификата пол-лям. И опять же , смотря в каком браузере просматривать страницу СБ после этого.
Могут быть ньюансы.

Я в курсе этой возможности, равно как и возможности отключения проверки сертификатов.

Не пойму в чем проблема тогда? Вам необходимо отреверсить трафик от СБ ?

alper

@werter:

Думаю, что ошиблись. Именно Ваш сертификат для криптованного трафика - самоподписанный. Браузер на это и ругается.

Добавьте свой самоподпис. сертификат себе в локальное хранилище. Если же у вас домен, то создайте груп. политику по добавлению этого сертификата пол-лям.

Не пойму в чем проблема тогда? Вам необходимо отреверсить трафик от СБ ?

Прошу обратить внимание на ошибку, указанную в первом посте:
ругается именно pfsense и именно на сертификат thawte, а не браузер на самоподписанный сертификат.
Другие сайты, которые я пробовал, открываются нормально без всяких предупреждений\ошибок, так как мой корневой сертификат включен в политики домена.

werter

Попробуйте в англоветке задать этот вопрос.

werter

https://forum.pfsense.org/index.php?topic=90365.msg499790#msg499790
Скрин настроек посмотрите. У Вас так ?