¿Cómo hacer que el proxy Squid acepte un certificado autofirmado?

tag-icon tag-icon kubernetes squid self-signed-certificate
¿Cómo hacer que el proxy Squid acepte un certificado autofirmado?

Tengo un caso de uso en el que tengo que aceptar un certificado autofirmado en Squid. Los puntos finales son clústeres de Kubernetes que utilizan certificados autofirmados. Los clústeres se recrearán a pedido con diferentes certificados autofirmados y, por lo tanto, será necesario aceptarlos con una expresión regular, de forma preferida o globalmente para fines de prueba.

La versión actual de Squid es 6.0.0, compilada con las siguientes opciones:

Squid Cache: Version 6.0.0-VCS                                                                                                                                             
Service Name: squid                                                                                                                                                        
                                                                                                                                                                           
This binary uses OpenSSL 1.1.1  11 Sep 2018. For legal restrictions on distribution see https://www.openssl.org/source/license.html                                        
                                                                                                                                                                           
configure options:  '--prefix=/apps/squid' '--enable-icap-client' '--enable-ssl' '--with-openssl' '--enable-ssl-crtd' '--enable-security-cert-generators=file' '--enable-au
th' '--with-default-user=proxy'

En mis pruebas jugué con las configuraciones ssl_bump y tls_outgoing_options:

http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB 
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
ssl_bump bump all
sslproxy_cert_error allow all
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER,DONT_VERIFY_DOMAIN

Pero el mejor resultado que puedo lograr es_curl: (51) SSL: no alternative certificate subject name matches target host name

O sin ssl_bump

http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
sslproxy_cert_error allow all
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER,DONT_VERIFY_DOMAIN

Yo obtengocurl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to

Hoy necesito puntos finales K8S, pero mañana pueden ser otros puntos finales, por lo tanto, puede ser necesario hacer que Squid cree la conexión engañando al CN.

información relacionada