spooky_dizzy
14.11.12, 19:12
Hallo Leute,
Ich habe folgendes Problem:
Ich möchte meinen Squid (2.7) gerne SSL-Offloading machen sowie "aufschlagende" Nutzer per Client-Zertifikat überprüfen.
Zusätzlich sollen die Clientzertifikate gegen eine Sperrliste geprüft werden (CRL)
Leider kann ich keine höhere Version als 2.7 verwenden, da mir diese Squid-Version so vorgegeben ist.
Folgendes funktioniert bereits:
- Präsentieren / Validieren des Serverzertifikats (SSL-Offload)
- Prüfen des Client-Zertifikats gegen seine übergeordnete CA
- man bekommt die aufzurufende Seite auf dem Zielwebserver zu sehen
Hierzu die entsprechende Zeile in der suid.conf:
https_port 443 \
accel \
cert=/etc/ssl/servercerts/ServerCert.pem \
key=/etc/ssl/servercerts/ServerKey.pem \
version=1 \
options=ALL,NO_SSLv2 \
clientca=/etc/squid/clientca \
cafile=/etc/squid/clientca \
capath=/etc/ssl/certs/ \
sslflags=NO_DEFAULT_CA
Problem:
Leider hapert es mit der Sperrlistenüberprüfung.
Sobald ich gemäß
http://www.squid-cache.org/Versions/v2/2.7/cfgman/https_port.html
folgende Optionen hinzu nehme:
# crlfile=/etc/squid/crlfile123.pem
# sslflags=NO_DEFAULT_CA,VERIFY_CRL
# sslcontext=id
kann ich zwar noch die Pin für das Zertifikat angeben, bekomme aber die Seite nicht mehr zu sehen.
Meine vermutung ist - bzw. ich bin mir sicher, daß nun irgendwie das Clientzertifikat nicht mehr akzeptiert wird, da dessen Überprüfung fehlschlägt.
Sicher ist, daß das verwendete Zertifikat gültig und NICHT in der Sperrliste aufgeführt ist.
squid -v ergibt Folgendes:
Squid Cache: Version 2.7.STABLE5
configure options: '--prefix=/usr' '--sysconfdir=/etc/squid' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--localstatedir=/var' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--mandir=/usr/share/man' '--with-dl' '--with-maxfd=4096' '--with-valgrind-debug' '--enable-snmp' '--enable-carp' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=LDAP MSNT NCSA PAM SMB YP getpwnam multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB fakeauth no_check' '--enable-digest-auth-helpers=ldap password' '--enable-external-acl-helpers=ip_user ldap_group session unix_group wbinfo_group' '--enable-ntlm-fail-open' '--enable-arp-acl' '--enable-htcp' '--enable-underscores' '--enable-stacktraces' '--enable-delay-pools' '--enable-useragent-log' '--enable-referer-log' '--enable-forward-log' '--enable-multicast-miss' '--enable-ssl' '--enable-cache-digests' '--enable-auth-on-acceleration' '--enable-storeio=aufs,coss,diskd,null,ufs' '--enable-linux-netfilter' '--enable-removal-policies=heap,lru' '--enable-icmp' '--with-samba-sources=/usr/include/samba' '--enable-large-cache-files' '--enable-x-accelerator-vary' '--enable-follow-x-forwarded-for' 'CFLAGS=-fmessage-length=0 -O2 -Wall -D_FORTIFY_SOURCE=2 -fstack-protector -funwind-tables -fasynchronous-unwind-tables -g -fPIE -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-pie'
Hat irgendwer von Euch eine Idee oder einen Rat, wo der Fehler liegen könnte?
Ach ja - und kann mir irgendwer von Euch sagen, was zum Henker dieser "sslcontext" ist? Ich bin mir hier leider nicht sicher, da ich diese Zeile auch nur so bei Papa Google gefunden habe. ^^
Vielen Dank für Eure Hilfe schon mal im Voraus :-)
LG spooky
Ich habe folgendes Problem:
Ich möchte meinen Squid (2.7) gerne SSL-Offloading machen sowie "aufschlagende" Nutzer per Client-Zertifikat überprüfen.
Zusätzlich sollen die Clientzertifikate gegen eine Sperrliste geprüft werden (CRL)
Leider kann ich keine höhere Version als 2.7 verwenden, da mir diese Squid-Version so vorgegeben ist.
Folgendes funktioniert bereits:
- Präsentieren / Validieren des Serverzertifikats (SSL-Offload)
- Prüfen des Client-Zertifikats gegen seine übergeordnete CA
- man bekommt die aufzurufende Seite auf dem Zielwebserver zu sehen
Hierzu die entsprechende Zeile in der suid.conf:
https_port 443 \
accel \
cert=/etc/ssl/servercerts/ServerCert.pem \
key=/etc/ssl/servercerts/ServerKey.pem \
version=1 \
options=ALL,NO_SSLv2 \
clientca=/etc/squid/clientca \
cafile=/etc/squid/clientca \
capath=/etc/ssl/certs/ \
sslflags=NO_DEFAULT_CA
Problem:
Leider hapert es mit der Sperrlistenüberprüfung.
Sobald ich gemäß
http://www.squid-cache.org/Versions/v2/2.7/cfgman/https_port.html
folgende Optionen hinzu nehme:
# crlfile=/etc/squid/crlfile123.pem
# sslflags=NO_DEFAULT_CA,VERIFY_CRL
# sslcontext=id
kann ich zwar noch die Pin für das Zertifikat angeben, bekomme aber die Seite nicht mehr zu sehen.
Meine vermutung ist - bzw. ich bin mir sicher, daß nun irgendwie das Clientzertifikat nicht mehr akzeptiert wird, da dessen Überprüfung fehlschlägt.
Sicher ist, daß das verwendete Zertifikat gültig und NICHT in der Sperrliste aufgeführt ist.
squid -v ergibt Folgendes:
Squid Cache: Version 2.7.STABLE5
configure options: '--prefix=/usr' '--sysconfdir=/etc/squid' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--localstatedir=/var' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--mandir=/usr/share/man' '--with-dl' '--with-maxfd=4096' '--with-valgrind-debug' '--enable-snmp' '--enable-carp' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=LDAP MSNT NCSA PAM SMB YP getpwnam multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB fakeauth no_check' '--enable-digest-auth-helpers=ldap password' '--enable-external-acl-helpers=ip_user ldap_group session unix_group wbinfo_group' '--enable-ntlm-fail-open' '--enable-arp-acl' '--enable-htcp' '--enable-underscores' '--enable-stacktraces' '--enable-delay-pools' '--enable-useragent-log' '--enable-referer-log' '--enable-forward-log' '--enable-multicast-miss' '--enable-ssl' '--enable-cache-digests' '--enable-auth-on-acceleration' '--enable-storeio=aufs,coss,diskd,null,ufs' '--enable-linux-netfilter' '--enable-removal-policies=heap,lru' '--enable-icmp' '--with-samba-sources=/usr/include/samba' '--enable-large-cache-files' '--enable-x-accelerator-vary' '--enable-follow-x-forwarded-for' 'CFLAGS=-fmessage-length=0 -O2 -Wall -D_FORTIFY_SOURCE=2 -fstack-protector -funwind-tables -fasynchronous-unwind-tables -g -fPIE -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-pie'
Hat irgendwer von Euch eine Idee oder einen Rat, wo der Fehler liegen könnte?
Ach ja - und kann mir irgendwer von Euch sagen, was zum Henker dieser "sslcontext" ist? Ich bin mir hier leider nicht sicher, da ich diese Zeile auch nur so bei Papa Google gefunden habe. ^^
Vielen Dank für Eure Hilfe schon mal im Voraus :-)
LG spooky