Estoy intentando usar squid como proxy inverso frente a un único sitio web, para descifrar el SSL en el proxy y luego cifrar la conexión al servidor web (esto es para usar squid como cliente ICAP para una confianza cero). producto CDR).
Puedo ver que esto requiere dos líneas de configuración:
https_port 1.2.3.4:443 accelpara el oyente y
cache_peer 1.2.4.8 parent 443para el servidor web.
Siguiendo los ejemplos que encontré aquí y en otros lugares, encontré varios errores de Squid, en particular este:
FATAL: No valid signing certificate configured for HTTPS_port
¡Una configuración que funcione correctamente para Squid 4.x sería muy útil!
Respuesta1
Evidentemente, todos los ejemplos que encontré eran de versiones anteriores de Squid.
Para este problema, mi conclusión principal fue que cert=y key=en la https_portlínea de configuración ya no son correctos y necesitamos usar tls-cert=y tls-key=en su lugar.
Entonces (para Squid v4.15) solo necesito el certificado del servidor web y su clave privada, y estas líneas en squid.conf:
https_port 1.2.3.4:443 accel defaultsite=mysite.com tls-cert=/etc/squid/myserver.pem
cache_peer 1.2.4.8 parent 443 0 no-query originserver login=PASS ssl
Esto funciona para un .PEM que incluye el certificado y la clave privada no cifrada. Si la clave está en un archivo separado, esto debería funcionar:
https_port 1.2.3.4:443 accel defaultsite=mysite.com tls-cert=/etc/squid/myserver.pem tls-key=/etc/squid/myserver.key
cache_peer 1.2.4.8 parent 443 0 no-query originserver login=PASS ssl
Si esa clave está cifrada, deberá iniciar squid manualmente (por ejemplo, ejecutarlo squid -Nen una screensesión) o agregar una sslpassword_programlínea de configuración para proporcionar la frase de contraseña PEM.
NB: descubrí que http_port 3128todavía se necesitaba una línea de configuración http_port (p. ej.) para que squid se iniciara.
Todas las directivas del archivo de configuración están documentadas aquí:http://www.squid-cache.org/Doc/config/