PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid Reverse Proxy Intermediate Zertifikat



volzim
28.10.15, 09:13
Guten Morgen Leute,

zur Erreichbarkeit unseres Exchange-Servers aus dem Internet, habe ich mich entschlossen zur zusätzlichen Sicherheit einen Squid Reverse Proxy einzusetzen. Ich habe angefangen mich in Linux einzuarbeiten, da ich bisher noch nicht viel Kontakt mit der Konsole hatte. Aber es macht mir Spaß:)
Mithilfe einer Anleitung habe ich mich nun an die Arbeit gemacht. Habe einen Ubuntu-Server(14.04) aufgesetzt und Squid3.3 SSL installiert.
Anleitung:
http://technikblog.rachfahl.de/allgemein/installation-eines-reverse-proxy-mit-squid-3-3-unter-ubuntu-zur-absicherung-eines-exchange-server-2013/

Nach einem erfolgreichen Test mit dem internen Zertifikat des Exchanges habe ich mir ein offizielles von GlobalSign beantragt. Habe das Zertifikat anschließend installiert und alles schien zu funktionieren. Das Problem ist, dass das Intermediate Zertifikat von GlobalSign standardmäßig nicht auf einen Iphone verfügbar ist. So kann ich zwar auf die Seite zugreifen bekomm aber leider immer die Vertrauens-Frage gestellt, was ich ja natürlich umgehen wollte.

Dieses Intermediate Zertifikat muss jetzt irgendwie dem Client mit übermittelt werden, damit die Zertifikat-Kette komlett ist. Ich habe gegooglet und bin auf eine kleine Erweiterung in der squid.conf gestoßen. Mit dem Punkt cafile=, kann das Intermediate Zertifikat mit übermittelt werden. Dieses liegt im PEM Format vor. Aber leider funktioniert es nicht. Das íPhone vertraut dem Zertifikat nicht. Bei Windows Rechnern gibt es keine Probleme, da sie das Intermediate Zertifikat standardmäßig installiert haben.

Ich habe auch schon versucht das Server Zertifikat und das Intermediate Zertifikat zu einer Kette zusammenzuführen mit diesem Befehl:
cat server_zert.crt intermediate_zert.crt > ca.crt
hat leider auch nicht funktioniert

Kann mir jemand einen Tip geben?

marce
28.10.15, 11:12
Zertifikate hängt man normalerweise mit openssl aneinander, z.b. wie in http://esupport.trendmicro.com/solution/en-US/1106466.aspx (einen weniger verherstellerten Link finde ich ggf. noch und ändere das dann hier...)

google meint, daß es evtl. auch an der Reihenfolge liegen könnte.
http://serverfault.com/questions/476576/how-to-combine-various-certificates-into-single-pem

volzim
28.10.15, 12:07
Ich schau mir das mal an.
Was mich stutzig macht ist, dass man mittels "cafile=" in der squid.conf scheinbar ein CA Zertifikat angeben kann. Aber bei mir funktioniert es leider nicht. Bei google findet man ein paar Sachen aber meist aus dem Jahr 2011, da gab es wohl ein Bug oder die Zertifikats-Kette wurde noch nicht unterstützt.

Hat es hier jemand im Einsatz mit dem Intermediate Zertifikat?

Thorashh
28.10.15, 12:23
Moin

Kopiere mal das Intermediate Certificate mit in dein Cert-File (erst Cert, dann Intermediate Cert).
Das funktioniert bei vielen Programmen.

Thorashh

volzim
28.10.15, 14:31
Moin

Kopiere mal das Intermediate Certificate mit in dein Cert-File (erst Cert, dann Intermediate Cert).
Das funktioniert bei vielen Programmen.

Thorashh

Mit cat habe ich es versucht. wenn ich mir aber das Zertifikat dann anzeigen lassen will bekomme ich einen Fehler. Die Seite ist dann auch nicht mehr aufrufbar.

root@Squid2:/etc/squid3/ssl# cat server.pem Intermediate.pem > mail.pem
root@Squid2:/etc/squid3/ssl# openssl x509 -text -noout -in mail.pem
unable to load certificate
139854494234272:error:0906D066:PEM routines:PEM_read_bio:bad end line:pem_lib.c:802:
root@Squid2:/etc/squid3/ssl#

Einzeln kann ich mir sie über den Befehl korrekt anzeigen lassen.

volzim
28.10.15, 14:35
Hier ist die Beschreibung in der es erklärt wird:

https://www.ssl247.de/kb/ssl-certificates/install/squid

volzim
28.10.15, 15:43
Also Ihr hattet Recht! Ich habe beide Zertifikate mit dem notepad geöffnet. Eine neue Datei erstellt, zuerst das Server Zertifikat reinkopiert, dann das von der Intermediate CA. Eingebunden und siehe da:D es läuft.
warum das nicht mit dem cat befehl funktionierte weiß ich nicht.

Vielen Dank für eure Hilfe!!