înregistrare Logare
Puncte:0
Alex avatar Server

Cum se face proxy squid pentru a accepta certificatul autosemnat?

drapel in
Alex

Am un caz de utilizare în care trebuie să accept certificatul autosemnat în Squid. Punctele finale sunt clustere Kubernetes care utilizează certificate autosemnate. Clusterele vor fi recreate la cerere cu certificate auto-semnate diferite și, prin urmare, necesitatea de a le accepta cu o expresie regulată, mod preferat sau global în scopul testării.

Versiunea actuală de Squid este 6.0.0, compilată cu următoarele steaguri:

Squid Cache: versiunea 6.0.0-VCS                                                                                                                                             
Nume serviciu: calmar                                                                                                                                                        
                                                                                                                                                                           
Acest binar folosește OpenSSL 1.1.1 11 septembrie 2018.Pentru restricțiile legale privind distribuția, consultați https://www.openssl.org/source/license.html                                        
                                                                                                                                                                           
configurați opțiunile: '--prefix=/apps/squid' '--enable-icap-client' '--enable-ssl' '--with-openssl' '--enable-ssl-crtd' '--enable- security-cert-generators=fișier' '--enable-au
th' '--with-default-user=proxy'

În testele mele m-am jucat cu configurațiile ssl_bump și tls_outgoing_options:

http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB 
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
ssl_bump bump all
sslproxy_cert_error permite toate
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER, DONT_VERIFY_DOMAIN

Dar cel mai bun rezultat pe care îl pot obține este _curl: (51) SSL: niciun nume alternativ al subiectului certificatului nu se potrivește cu numele gazdei țintă

Sau fără ssl_bump

http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
sslproxy_cert_error permite toate
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER, DONT_VERIFY_DOMAIN

Eu iau curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL în conexiune la

Astăzi am nevoie de puncte finale K8S, dar mâine pot fi orice alte puncte finale, prin urmare, nevoia de a face squid să creeze conexiunea poate păcăli CN.

116
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.