înregistrare Logare
Puncte:0
JoBe avatar Server

Calamar! FATAL: Nu a fost configurat niciun certificat de semnare valid pentru HTTPS_port

drapel ng
JoBe

Mă lupt cu Squid 4.13 pe Ubuntu 20.04 de aproximativ o săptămână.

Ultima mea (și, sperăm, ultima) problemă este aceasta:

FATAL: Nu a fost configurat niciun certificat de semnare valid pentru HTTPS_port

și aceasta este replica mea care spune așa:

https_port 0.0.0.0:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/rootCA.crt key=/usr/local/squid/etc/rootCA.key options= SINGLE_DH_USE, SINGLE_ECDH_USE tls-dh=/usr/local/squid/etc/dhparam.pem

M-am uitat peste tot în jur (cel puțin așa se simte), și chiar și calmarii au propriul wiki (https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit) sunt vierd? pentru că la început arată cum să faci fișiere .pem, dar la sfârșitul documentului unde arată linia exemplu, vorbesc despre .crt și .key și un fișier .pem total diferit..

Singurul lucru pe care l-am schimbat, a fost ridicarea biților la 4096

Deci din nou, sunt pierdut! Stie cineva despre ce vorbesc? Care este formatul potrivit și cum se face și ... Ahh! Ajutor?

Editați | ×: Aceasta este configurația „standard” pe care o folosesc:

acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 „această” rețea (LAN)
acl localnet src 10.0.0.0/8 # RFC 1918 rețea privată locală (LAN)
acl localnet src 100.64.0.0/10 # RFC 6598 spațiu de adresă partajat (CGN)
acl localnet src 169.254.0.0/16 # RFC 3927 link-local mașini (conectate direct)
acl localnet src 172.16.0.0/12 # RFC 1918 rețea privată locală (LAN)
acl localnet src 192.168.0.0/16 # RFC 1918 rețea privată locală (LAN)
acl localnet src fc00::/7 # RFC 4193 interval de rețea privată locală
acl localnet src fe80::/10 # RFC 4291 link-local mașini (conectate direct)
acl SSL_ports portul 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # porturi neînregistrate
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT metoda CONECTARE
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access permite managerul localhost
http_access manager de refuz
include /etc/squid/conf.d/*
http_access permite localhost
http_access permite toate

include /etc/squid/conf.d/*
https_port 0.0.0.0:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB tls-cert=/usr/local/squid/etc/Root-ca-cert.pem cert=/usr/local/squid/etc /rootCA.crt key=/usr/local/squid/etc/rootCA.key options=SINGLE_DH_USE, SINGLE_ECDH_USE tls-dh=/usr/local/squid/etc/dhparam.pem

Configurația inclusă din /etc/squid/conf.d este un fișier numit debian.conf:

#
# Setări de configurare Squid pentru Debian
#

# Jurnalele sunt gestionate de logrotate pe Debian
logfile_rotate 0

# Pentru securitate suplimentară numai pachetele Debian permit
# localhost pentru a utiliza proxy-ul la noi instalări
#
#http_access permite localnet

așa cum a solicitat:

4 august 12:25:47 socks systemd[1]: Se pornește Squid Web Proxy Server...
4 aug 12:25:52 șosete calamar[9474]: 2021/08/04 12:25:52| FATAL: Niciun certificat de semnare valid configurat pentru HTTPS_port 0.0.0.0:3128
4 august 12:25:52 socks squid: FATAL: Niciun certificat de semnare valid configurat pentru HTTPS_port 0.0.0.0:3128
4 aug 12:25:52 șosete calamar[9474]: 2021/08/04 12:25:52| Squid Cache (Versiunea 4.13): Terminat anormal.
4 aug 12:25:52 socks squid[9474]: Utilizare CPU: 5,132 secunde = 5,128 utilizator + 0,004 sys
4 aug 12:25:52 șosete calamar[9474]: Dimensiunea maximă pentru rezidenți: 62224 KB
Aug 4 12:25:52 socks squid[9474]: defecte de pagină la i/o fizic: 0
4 aug 12:25:52 socks systemd[1]: squid.service: Proces de control ieșit, cod=ieșit, stare=1/Eșec
4 aug 12:25:52 socks systemd[1]: squid.service: A eșuat cu rezultatul „exit-code”.
4 august 12:25:52 socks systemd[1]: Nu s-a pornit Squid Web Proxy Server.
1157
1 + 8
Michael Hampton avatar
drapel cz
Michael Hampton
Ați arătat o configurație pentru https_port, dar nu este ceea ce sa plâns. Ce ai configurat pentru HTTPS_port?
0
Răspunde
JoBe avatar
drapel ng
JoBe
acum sunt complet pierdut, acesta este singurul port pe care l-am configurat în squid.conf, mai sunt @Michael_Hampton?
0
Răspunde
JoBe avatar
drapel ng
JoBe
El, exact ce am făcut eu, ar fi trebuit să o facă de la început
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Ceva nu are sens aici. Ați postat o eroare despre HTTPS_port, dar se pare că nu aveți asta nicăieri în configurația dvs. Ce se intampla aici?
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Am parcurs documentele și nu am găsit nimic despre HTTPS_port; asta nu pare a fi deloc valabil. Sunteți sigur că aceasta este de fapt eroarea pe care ați primit-o? Acum bănuiesc că nu este. Vă rugăm să **copiați și lipiți** mesajul de eroare **complet**.
0
Răspunde
JoBe avatar
drapel ng
JoBe
Strângeam jurnalul, am început să mă întreb de ce a funcționat un test de pe o pagină rusă, așa că am schimbat certificatul la specificațiile lor, și erau certificate de 2k, iar acelea au funcționat, acum aveam o teorie că calmarul nu putea face față 4k , și îl înlocuiește pe al meu cu 2k, iar acum am lucrat. așa că am testat să înlocuiesc acele certificate de 2k cu 4k, pe rând, și brusc a acceptat acele noi 4k, așa că se pare că mesajul de eroare a fost 100% corect, ceva trebuie să fi fost corupt cu 4k originale, dar desigur o problemă nouă a apărut: 192.168.0.2 TCP_DENIED_ABORTED/200 0 CONNECT 192.168.3.9:3130 - HIER_NONE/- - access.log
0
Răspunde
JoBe avatar
drapel ng
JoBe
..Am atașat și jurnalul solicitat
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
Ei bine, asta e foarte ciudat. Cred că va trebui să dau vina pe Squid pentru confuzia dintre HTTPS_port și https_port. Nu pot să înțeleg de ce ar face asta; doar pierde timpul în timp ce oamenii încearcă să-și dea seama ce se întâmplă. De asemenea, pare a fi recent; versiunile mai vechi de squid au raportat corect o eroare pe https_port, nu HTTPS_port.
0
Răspunde
Puncte:0
JoBe avatar Server
drapel ng
JoBe

O parte a soluției a fost o problemă ID 10 T, se pare că certificatul era defect, chiar și testele spuneau că este în regulă, dar la crearea unui nou certificat a funcționat.

Problema ulterioară care a apărut despre buclă, a fost identificată aici: https://unix.stackexchange.com/questions/664236/squid-proxy-is-eating-up-its-own-resources-and-other-issues

și un nou aspect al întrebării a fost postat aici: https://unix.stackexchange.com/questions/664669/squid-caught-in-loop-cert-error

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.