Estou tentando usar o squid como proxy reverso na frente de um único site, para descriptografar o SSL no proxy e depois criptografar a conexão com o servidor web (isso é para usar o squid como um cliente ICAP para uma confiança zero produto CDR).
Posso ver que isso requer duas linhas de configuração:
https_port 1.2.3.4:443 accelpara o ouvinte e
cache_peer 1.2.4.8 parent 443para o servidor web.
Seguindo os exemplos que encontrei aqui e em outros lugares, encontrei vários erros do Squid, em particular este:
FATAL: No valid signing certificate configured for HTTPS_port
Uma configuração funcional para o Squid 4.x seria muito útil!
Responder1
Evidentemente, os exemplos que encontrei eram todos de versões anteriores do squid.
Para este problema, minha principal conclusão foi que cert=e key=na https_portlinha de configuração não estão mais corretos e precisamos usar tls-cert=e tls-key=em vez disso.
Então (para o Squid v4.15) eu só preciso do certificado do servidor web e sua chave privada, e estas linhas no squid.conf:
https_port 1.2.3.4:443 accel defaultsite=mysite.com tls-cert=/etc/squid/myserver.pem
cache_peer 1.2.4.8 parent 443 0 no-query originserver login=PASS ssl
Isso funciona para um .PEM que inclui o certificado e a chave privada não criptografada. Se a chave estiver em um arquivo separado, isso deverá funcionar:
https_port 1.2.3.4:443 accel defaultsite=mysite.com tls-cert=/etc/squid/myserver.pem tls-key=/etc/squid/myserver.key
cache_peer 1.2.4.8 parent 443 0 no-query originserver login=PASS ssl
Se essa chave estiver criptografada, você precisará iniciar o squid manualmente (por exemplo, executá-lo squid -Nem uma screensessão) ou adicionar uma sslpassword_programlinha de configuração para fornecer a senha do PEM.
NB: descobri que uma linha de configuração http_port (por exemplo http_port 3128, ) ainda era necessária para o squid iniciar.
Todas as diretivas do arquivo de configuração estão documentadas aqui:http://www.squid-cache.org/Doc/config/