Squid에서 자체 서명된 인증서를 수락해야 하는 사용 사례가 있습니다. 엔드포인트는 자체 서명된 인증서를 사용하는 Kubernetes 클러스터입니다. 클러스터는 필요에 따라 자체 서명된 다른 인증서를 사용하여 다시 생성되므로 정규 표현식, 선호하는 방식 또는 테스트 목적으로 전역적으로 이를 수락해야 합니다.
현재 Squid 버전은 6.0.0이며 다음 플래그로 컴파일됩니다.
Squid Cache: Version 6.0.0-VCS
Service Name: squid
This binary uses OpenSSL 1.1.1 11 Sep 2018. For legal restrictions on distribution see https://www.openssl.org/source/license.html
configure options: '--prefix=/apps/squid' '--enable-icap-client' '--enable-ssl' '--with-openssl' '--enable-ssl-crtd' '--enable-security-cert-generators=file' '--enable-au
th' '--with-default-user=proxy'
내 테스트에서는 ssl_bump 구성과 tls_outgoing_options를 사용해 보았습니다.
http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
ssl_bump bump all
sslproxy_cert_error allow all
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER,DONT_VERIFY_DOMAIN
하지만 내가 얻을 수 있는 최고의 결과는_curl: (51) SSL: no alternative certificate subject name matches target host name
또는 ssl_bump 없이
http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
sslproxy_cert_error allow all
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER,DONT_VERIFY_DOMAIN
나는 얻다curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to
오늘은 K8S 엔드포인트가 필요하지만 내일은 다른 엔드포인트가 될 수 있으므로 오징어가 CN을 속이는 연결을 생성하도록 해야 할 수도 있습니다.