squid SSL https

于 2023-12-14 10:12:31 发布
阅读量558 收藏
点赞数 3
分类专栏: linux服务器 squid 运维 文章标签: https ssl squid linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drrui520/article/details/134988699
版权
linux服务器 同时被 3 个专栏收录
40 篇文章 0 订阅
订阅专栏
运维
17 篇文章 0 订阅
订阅专栏
squid
2 篇文章 0 订阅
订阅专栏

在 Squid 服务中配置 SSL Bumping
建议在 Squid 服务中配置 SSL Bumping 以处理加密连接。如果未配置 SSL Bumping,则代理服务器无法干预加密连接建立过程。在这种情况下,Kaspersky Web Traffic Security(反病毒和反网络钓鱼)的保护模块无法扫描在加密数据通道内传输的数据。这降低了企业 IT 基础架构的保护级别。

创建一个自签名的 SSL 证书
如要创建一个自签名的 SSL 证书:

转至 Squid 服务文件夹。为此,请执行命令:
cd /etc/squid

创建一个自签名的 SSL 证书。为此,请执行命令:
openssl req -new -newkey rsa:2048 -days -nodes -x509 -keyout bump.key -out bump.crt

您将被提示填写自签名 SSL 证书的字段。

请填写自签名 SSL 证书的字段。
证书文件 bump.crt 和私钥文件 bump.key 将按 PEM 格式进行创建。

私钥文件必须存储在安全位置以防对流量未经授权进行访问。

将证书文件转换为 DER 格式的受信任证书以便它可以被导入浏览器中。为此,请执行命令:
openssl x509 -in bump.crt -outform DER -out bump.der

将 bump.der 文件导入用户计算机上受信任的根认证权威列表。
当使用某些浏览器(诸如 Mozilla Firefox)时,您必须将证书也添加到浏览器存储。

将创建自签名 SSL 证书。

要在 Squid 服务中配置 SSL Bumping:

请确保所用的 Squid 服务支持必需的选项。为此,请执行命令:
squid -v

配置选项参数必须包含 --enable-ssl-crtd and --with-openssl 值。

把 PEM 格式的 SSL 证书复制到文件 /etc/squid/bump.crt 中。
把 PEM 格式的私钥复制到文件 /etc/squid/bump.key 中。
为 Diffie-Hellman 算法生成设置文件。为此,请执行命令:
openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048

配置 SSL 证书文件使用权限。为此,请根据所使用的操作系统运行以下命令:
CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/bump*

chmod 400 /etc/squid/bump*

Ubuntu 或 Debian:
chown proxy:proxy /etc/squid/bump*

chmod 400 /etc/squid/bump*

确定您的服务器上使用的 Squid 服务的版本。为此,请执行命令:
squid -v

利用版本的信息显示为格式 Squid Cache: 版本 .

如果 Squid 服务正在运行,将其停止。为此,请执行命令:
service squid stop

如果正在使用版本 3.5.x 的 Squid 服务:
为证书数据库创建目录然后初始化数据库。为此,请根据所使用的操作系统运行以下命令:
CentOS 或 Red Hat Enterprise Linux:
mkdir -p /var/lib/squid

rm -rf /var/lib/squid/ssl_db

/usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

chown -R squid:squid /var/lib/squid

SUSE Linux Enterprise Server:
mkdir -p /var/lib/squid

rm -rf /var/lib/squid/ssl_db

/usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_db

chown -R squid:squid /var/lib/squid

Ubuntu 或 Debian:
mkdir -p /var/lib/squid

rm -rf /var/lib/squid/ssl_db

/usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

chown -R proxy:proxy:<группа> /var/lib/squid

在 /etc/squid/squid.conf 配置文件中进行以下更改:
在文件末尾,根据利用的操作系统添加以下指令:
CentOS 或 Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

sslproxy_cert_error allow all

ssl_bump stare all

SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

sslproxy_cert_error allow all

ssl_bump stare all

Ubuntu 或 Debian:
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

sslproxy_cert_error allow all

ssl_bump stare all

用以下内容替换 http_port 指令:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

如果正在使用版本 4.x 的 Squid 服务:
为证书数据库创建目录然后初始化数据库。为此,请根据所使用的操作系统运行以下命令:
CentOS 或 Red Hat Enterprise Linux:
mkdir -p /var/lib/squid

rm -rf /var/lib/squid/ssl_db

/usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

chown -R squid:squid /var/lib/squid

SUSE Linux Enterprise Server:
mkdir -p /var/lib/squid

rm -rf /var/lib/squid/ssl_db

/usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

chown -R squid:squid /var/lib/squid

Ubuntu 或 Debian:
mkdir -p /var/lib/squid

rm -rf /var/lib/squid/ssl_db

/usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

chown -R proxy:proxy /var/lib/squid

在 /etc/squid/squid.conf 配置文件中进行以下更改:
将以下指令添加到文件开始或第一个 http_access 指令前:
acl intermediate_fetching transaction_initiator certificate-fetching

http_access allow intermediate_fetching

根据利用的操作系统将以下指令添加到文件末尾:
CentOS 或 Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

sslproxy_cert_error allow all

ssl_bump stare all

SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

sslproxy_cert_error allow all

ssl_bump stare all

Ubuntu 或 Debian:
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

sslproxy_cert_error allow all

ssl_bump stare all

用以下内容替换 http_port 指令:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

重启 Squid 服务。为此,请执行命令:
service squid restart

配置 Squid 服务中的 SSL Bumping 将完成。

叮咚网工
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
squid 开启 ssl
逆雪寒的天坑
02-29 7288
1.生成测试用的证书: openssl req -new -keyout /etc/squid/key.pem -nodes -x509 -days 365 -out /etc/squid/cert.pem SSL配置: http_port 8080 transparent https_port 443 cert=/usr/local/etc/squid/cer
基于squid3.5.27的ssl代理服务器搭建(简易版)
bing_2016的博客
04-19 2716
最近因业务需要调研一款对内网的加密流量进行内容监控的方案,初步发现可以利用squidssl代理进行流量导出分析,有点类似于中间人攻击,但是受到的限制很多,而且需要在绝对受信任的情况下才能部署,最终是否利用还难说,squidssl代理的编译安装就不做介绍,下面分享一份简易版的配置文件,测试机利用Ubuntu14.04,squid版本3.5.27:## Recommended minimum co...
Squid 代理服务器
mfuivivig的博客
11-15 146
http_port 80 accel vhost vport #squid从一个缓存变成了一个Web服务器反向代理加速模式,这个时候squid在80端口监听请求,同时和web server的请求端口(vhost vport)绑定,这个时候请求到了squidsquid是不用转发请求的,而是直接要么从缓存中拿数据要么向绑定的端口直接请求数据。通常对于静态资源,即较少经常更新的资源,如图片,css或js等进行缓存,从而在每次刷新浏览器的时候,不用重新请求,而是从缓存里面读取,这样就可以减轻服务器的压力。
squid配置http和https代理实现上网
追光者的博客
02-06 5626
linux使用squid配置http和https代理实现上网
squid-sslbump
06-28
Squid ssl-bump 缓存代理 一个缓存代理服务器有选择地 MITM SSL 连接来缓存内容。 目标是加快交付速度,而不是监视人。 github repo @ 提供的示例配置 构建: docker build -t jamesyale/squid-sslbump . 由于squid 需要初始化它的缓存目录的方式以及我不愿意使用启动脚本,squid 配置/ SSL 密钥必须在构建时被推入,但可以在以后被覆盖。 跑步: docker run -d --name squid-sslbump -p 3128:3128 -v `pwd`/squid-config:/etc/squid jamesyale/squid-sslbump
squid ssl
最新发布
dongzi321的博客
10-16 112
squid config ssl
Ubuntu安装squid并启用SSL
mao1059568684的专栏
06-16 4750
转载地址:https://www.darrenfang.com/2015/05/install-squid-on-ubuntu-and-enable-ssl/ 由于公司网络限制,无法访问外网某些网站。为了突破限制,需要在外网服务器上安装一个 squid 作为代理,同时为了安全,启用 SSL。 安装openssl 首先需要安装 openssl 及相关的依赖。 apt-
squid-alpine-ssl:在启用了SSLBump功能的docker镜像上的Alpine Linux上使用Squid。 该图像的总大小为8MB。 您可以在一分钟左右的时间内启动并运行此功能齐全的Web代理
05-25
curl -s https://api.github.com/repos/alatas/squid-alpine-ssl/releases/latest | grep " browser_download_url.*docker.zip " | head -1 | cut -d : -f 2,3 | cut -d ' " ' -f 2 | xargs curl -L -o release.zip...
squid-windows:为Microsoft Windows构建的Squid代理
05-01
Squid Windows安装程序Squid是Web的缓存代理,支持HTTP,HTTPS,FTP等。 通过缓存和重用经常请求的网页,它减少了带宽并缩短了响应时间。 Squid具有广泛的访问控制,是一个出色的服务器加速器。 它可以在大多数可用...
squid-ubuntu:重新编译了最新版本的Squid代理,在Ubuntu 18 LTS上支持HTTPS过滤和SSL检查。 用于Squid的Web安全Web筛选器
02-06
在这个特定的项目中,"squid-ubuntu" 是一个经过重新编译的版本,特别针对HTTPS过滤和SSL检查进行了优化。 **HTTPS过滤** 是一种重要的网络安全措施,因为许多现代网站已经从HTTP迁移到更安全的HTTPS协议。默认情况...
squid-2.7 SSL For Windows
11-17
在“Squid-2.7 SSL For Windows”中,我们聚焦于 Squid 在 Windows 操作系统上的版本,且带有 SSL 支持,这使得它能够处理加密的 HTTPS 流量。 首先,让我们深入理解 Squid 的基本概念。Squid 是一款高性能的代理...
Squid-3.4.10 linux
01-21
7. **安全特性**:Squid支持SSL/TLS加密,可以提供对HTTPS站点的安全代理,同时也可以防止中间人攻击。 8. **性能优化**:Squid采用多线程架构,能够有效利用多核处理器,提高处理并发请求的能力。 在安装和配置...
squid添加https协议中ssl设置
zyzn1425077119的博客
01-22 5983
https是一种协议,等于 HTTP+TLS,由于历史原因,ssl3.0被TLS1.0取代 openssl实现了ssl2,ssl3.TSLv1,TLSv1.1,TLSv1.2协议
squidhttps_port中版本SSLv2、SSL3或者TLSv1
zyzn1425077119的博客
01-23 4089
squid官网:http://www.squid-cache.org/Versions/v3/3.5/cfgman/https_port.html 中对于squid3.5版本 中的https_port选项“ : SSL Options: cert= Path to SSL certificate (PEM format). key= Path to S
[Squid]使用ssl_bump侦听https connect消息,实现url过滤
ken6328的博客
04-24 3220
HTTP通信,在squid中可以正常识别method和详细urlpath 但是HTTPS通信时,method一律识别成CONNECT,并且只显示domain,不显示详细urlpath 所以,有关path_regex和urlpath_regex的过滤都无法生效 如果想让squid能获取详细urlpath和method的话 就需要把squid设置成一个中间人 squid与client使用虚假证书建立h...
squid 启用https反向代理代理
zhangcz的博客
08-29 6994
启用https代理,顾名思义就是在访问squid代理的时候使用https.
实战ssl-bump,实现squid的url过滤功能
robinspada的博客
09-14 3736
使用代理服务器squid,想实现url过滤,禁止访问某个url,我们自然就想到了使用url_regex,可以使用正则对url进行过滤 比如说我们要禁止使用百度搜索,可使用下面的过滤 acl deny_url  url_regex //www\.baidu\.com/s http_access deny deny_url 但是实际运行发现这个功能对https网站不起作用,对于https网站,u...
squid 如何代理https请求
刘宇希的博客
02-12 4142
Squid是一种开源的Web代理服务器,可以代理HTTP和HTTPS请求。
Linux运维的40道面试精华题
drrui520的博客
04-14 1978
1、什么是运维?什么是游戏运维? 1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常, 在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术 运维又包括很多种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等 2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维 开发运维:是给应用运维开发运维工具和运维平台...
Debian编译ssl如何实现squid的反向代理https端口。提示:squid需要重新编译;客户端到squid一定需要ssl证书,squid到web服务器可以是用80,也可以使用443,使用443就需要证书。
06-12
要让squid支持反向代理HTTPS端口,需要重新编译squid,并且在编译时启用SSL支持。具体步骤如下: 1. 安装依赖库: ``` sudo apt-get install build-essential openssl libssl-dev ``` 2. 下载squid源码包: ``` wget http://www.squid-cache.org/Versions/v4/squid-4.15.tar.gz tar -xzvf squid-4.15.tar.gz cd squid-4.15 ``` 3. 配置、编译和安装squid: ``` ./configure --prefix=/usr/local/squid --with-openssl --enable-ssl --enable-ssl-crtd make sudo make install ``` 上述命令中,--with-openssl和--enable-ssl参数表示启用SSL支持,--enable-ssl-crtd参数表示启用SSL证书缓存。 4. 生成SSL证书: 为了让squid支持HTTPS反向代理,需要为squid生成一个SSL证书。可以使用以下命令生成SSL证书: ``` cd /usr/local/squid/etc/ openssl req -new -newkey rsa:2048 -nodes -keyout squid.key -out squid.csr openssl x509 -req -days 365 -in squid.csr -signkey squid.key -out squid.crt ``` 5. 配置squid: 编辑squid配置文件/etc/squid/squid.conf,添加以下内容: ``` http_port 80 accel defaultsite=www.example.com https_port 443 accel defaultsite=www.example.com cert=/usr/local/squid/etc/squid.crt key=/usr/local/squid/etc/squid.key cache_peer web_server_ip_address parent 80 0 no-query originserver name=webserver cache_peer web_server_ip_address parent 443 0 no-query originserver ssl sslflags=DONT_VERIFY_PEER name=webserver_https acl ssl_port port 443 acl ssl method CONNECT http_access allow ssl_port ssl http_access allow webserver http_access allow webserver_https ``` 上述配置中,http_port设置为80,https_port设置为443,并开启了加速模式。cache_peer指令用于设置反向代理服务器,其中web_server_ip_address为反向代理的目标服务器的IP地址。ssl_port和ssl方法用于允许SSL连接,http_access用于控制访问权限。 6. 重启squid服务: ``` sudo service squid restart ``` 完成上述配置后,squid即可支持反向代理HTTPS端口。但是客户端到squid之间仍然需要SSL证书,可以自行使用openssl生成证书并配置客户端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叮咚网工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值