Montando um Servidor Squid 3 Transparent com SSL e SSLCRT

minibiga
(usa Debian)

Enviado em 22/05/2014 - 08:45h

Na verdade funciona sim, na versão 3.3 compilado com a opção --enable-ssl e --enable-ssl-crtd funciona proxy transparente, porém alguns sites como gmail ainda dão erro de certificado no IE e no Chrome.

lucas peregrino
(usa Debian)

Enviado em 11/06/2014 - 10:18h

Bom dia gente desculpe a demora mais correria e muita vejo que tem bastante interrese com proxy transparent com ssl posso dizer que estou conseguindo trabalhar com ele tranaquilamente mais novamente avisando o processo de compilação e bom mais te deixa muito atrasado por causa de versão para squid feito isso estou compilando o squid direto da raiz msm e falo que fico ainda melhor bem hoje o unico problema no squid a qual me encontro esta em abir certificados digitais como em sites do governo e caixa economica não me aparece para selecionar certificado digital hoje o que procuro na internet seria uma solução para isso caso o pessoal tenho duvida fique a disposição a perguntar.

Buckminster
(usa Debian)

Enviado em 11/06/2014 - 15:11h

É verdade. Tem razão.

Buckminster
(usa Debian)

Enviado em 11/06/2014 - 15:38h

Faça um teste:

essa linha

sslcrtd_children 5

deixe assim

sslcrtd_children 20 startup=5 idle=1

Reinicie o Squid e teste.

E minhas dúvidas são: essa linha

sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/ssl_db -M 4MB << aqui tu alterou o padrão de /etc/squid3/var/lib/ssl_db para /var/lib/ssl_db e criou o diretório /lib/ssl_db em /var?

Procure não deixar valores muito baixos em sslcrtd_children, isso deixa o Squid muito lento. O máximo é 32 e é o padrão também. E a opção idle=1 é necessária.

Teu Squid foi compilado com o parâmetro --enable-ssl-crtd?

lucas peregrino
(usa Debian)

Enviado em 13/06/2014 - 20:54h

sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 20 startup=5 idle=1
always_direct allow all
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

No arquivos de conf vc vai ter colocar essa linhas ai tb lembrando que o problema da lentidao e devido por conf do usuario esta errado no site do squid ele manda vc dar permisao ao usuario nobody mais usuario correto e usuario do squid no caso centos não qual e no debian seria o proxy ja o caminho como me pergunto eu uso a instalação como o padrão do debian por isso o caminho desse diretorio.

denisbenjamim
(usa Ubuntu)

Enviado em 06/03/2015 - 19:16h

Boa noite

Andei lendo o topico e seguindo de acordo, e o problema do certificado persiste, mesmo instalando ele de forma manual continua gerando o problema de certificado invalido.

Fiz um certificado free https://www.startssl.com/, porem ele nao codifica a chave para DER... sempre ocorre um erro... alguem tem alguma solução para isso ?

lucas peregrino
(usa Debian)

Enviado em 06/03/2015 - 22:46h

Boa noite bem por parte de funcionar o certificado funciona sim pois quando vc criar o certificado para adicionar o navegador voce deve adicionalo na guia autoridades certificadores com isso ele não vai te barrar seja no face ou gmail contudo vc não vai conseguir entra em site de banco ou certificado eletronica seja governo ou caixa pois esse sites não reconhece o certificado.

rbonfim
(usa elementary OS)

Enviado em 08/03/2015 - 10:37h

Ótimo tópico inclusive me deu algumas luzes com relação a recompilação do Squid. Agora as perguntas:

O procedimento para a opção --ssl-enable funciona com qualquer versão do Squid3?
Os arquivos de configuração do Squid 2.7 Stable servem como base para o Squid3 com as devidas alterações?
Por fim, além da modificação do "http transparent" para "http intercept" houveram grandes modificações com relação a ACL e sintaxes no Squid3?

Bom tópico e parabéns ao Autor!

buckminster
(usa Debian)

Enviado em 09/03/2015 - 14:54h

1 - Sim.
2 - Sim. Caso tiver algum erro de uma versão para outra no squid.conf, o Squid vai 'berrar'.
3 - A partir da versão 3.1, inclusive, o certo é 'intercept'. As modificações se deram mais em supressão de algumas funções e adição de outras e ainda assim foi pouca coisa. A sintaxe praticamente não mudou.
A partir do Squid 3.3, se não me engano, o squid.conf não vem mais com aquele conteúdo quilométrico, vem somente com as configurações básicas.

rbonfim
(usa elementary OS)

Enviado em 09/03/2015 - 15:15h

Buckminster show de bola. Há tempos venho buscando informações sobre o --ssl-enable e as alterações do Squid 2.7! Valeu! Vou fazer os testes aqui no Debian e posto algo sobre!

Abraço a todos!

buckminster
(usa Debian)

Enviado em 09/03/2015 - 15:18h

De nada.

http://www.squid-cache.org/Doc/config/

http://www.squid-cache.org/Doc/config/acl/

FABIO_GYN
(usa Debian)

Enviado em 16/07/2015 - 10:47h

Em primeiro lugar, aceite o que vou escrever como uma crítica construtiva.

É preciso usar pontuação e concordância para se escrever, ou ninguém vai conseguir entender.

Sobre os arquivos que se devem copiar, não está claro de onde para onde.

Nenhum desses arquivos a serem copiados existem com esses nomes no SO, existem com nomes diferentes, com extensões, em outros diretórios que não são o do squid-3.1.23 nem o do squid baixado pelo apt-get source, squid3-3.1.6, é preciso indicar a origem e destino dos arquivos a serem copiados.

Estou com problemas para recompilar um squid3 com suporte a ssl e tudo que encontrei e tentei tem dado erros, estou atrás de resolver esse problema, estou tentando fazer como vc fez, porém, algumas partes que vc disse, não consigo entender, mas de qualquer forma, obrigado.