단일 웹사이트 앞에서 Squid를 역방향 프록시로 사용하여 프록시의 SSL을 해독한 다음 웹 서버에 대한 연결을 암호화하려고 합니다(이는 Squid를 제로 트러스트를 위한 ICAP 클라이언트로 사용하기 위한 것입니다) CDR 제품).
https_port 1.2.3.4:443 accel여기에는 리스너와
cache_peer 1.2.4.8 parent 443웹 서버에 대한 두 개의 구성 라인이 필요하다는 것을 알 수 있습니다 .
여기와 다른 곳에서 찾은 예제에 따르면 Squid에서 다양한 오류가 발생했습니다. 특히 다음과 같습니다.
FATAL: No valid signing certificate configured for HTTPS_port
Squid 4.x에 대해 작동하는 것으로 알려진 구성이 매우 도움이 될 것입니다!
답변1
내가 찾은 예제는 모두 이전 버전의 오징어에 대한 것임이 분명합니다.
이 문제에 대한 주요 내용은 구성 줄 의 cert=및 가 더 이상 올바르지 않으므로 대신 and를 사용해야 한다는 것입니다.key=https_porttls-cert=tls-key=
따라서 (Squid v4.15의 경우) 웹 서버 인증서와 개인 키, 그리고 squid.conf에 다음 줄만 있으면 됩니다.
https_port 1.2.3.4:443 accel defaultsite=mysite.com tls-cert=/etc/squid/myserver.pem
cache_peer 1.2.4.8 parent 443 0 no-query originserver login=PASS ssl
이는 인증서와 암호화되지 않은 개인 키를 포함하는 .PEM에 대해 작동합니다. 키가 별도의 파일에 있으면 다음과 같이 작동합니다.
https_port 1.2.3.4:443 accel defaultsite=mysite.com tls-cert=/etc/squid/myserver.pem tls-key=/etc/squid/myserver.key
cache_peer 1.2.4.8 parent 443 0 no-query originserver login=PASS ssl
해당 키가 암호화된 경우 Squid를 수동으로 시작하거나(예: 세션 squid -N에서 실행 screen) sslpassword_program구성 줄을 추가하여 PEM 암호를 제공해야 합니다.
http_port 3128주의: squid를 시작하려면 http_port 구성 라인(예: )이 여전히 필요하다는 것을 알았습니다 .
모든 구성 파일 지시문은 여기에 문서화되어 있습니다.http://www.squid-cache.org/Doc/config/