Я боролся со Squid 4.13 на Ubuntu 20.04 уже около недели.
Моя последняя (и, надеюсь, последняя) проблема такова:
FATAL: для HTTPS_port не настроен действительный сертификат подписи.
и это моя строка, которая говорит так:
https_port 0.0.0.0:3128 перехват ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/rootCA.crt key=/usr/local/squid/etc/rootCA.key options= SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=/usr/local/squid/etc/dhparam.pem
Везде облазил (по крайней мере так кажется), и даже у сквидов своя вики(https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit) виерд? потому что в начале они показывают, как делать файлы .pem, но в конце документа, где они показывают строку примера, они говорят о .crt и .key и совершенно другом файле .pem.
Единственное, что я изменил, поднял биты до 4096.
Итак, я снова потерялся!
Кто-нибудь знает, о чем они говорят?
Какой правильный формат и как это сделать и ... Ааа! помощь?
Редактировать:
Это «стандартная» конфигурация, которую я использую:
acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "эта" сеть (LAN)
acl localnet src 10.0.0.0/8 # RFC 1918 локальная частная сеть (LAN)
acl localnet src 100.64.0.0/10 # RFC 6598 общее адресное пространство (CGN)
acl localnet src 169.254.0.0/16 # RFC 3927 link-local (подключенные напрямую) машины
acl localnet src 172.16.0.0/12 # RFC 1918 локальная частная сеть (LAN)
acl localnet src 192.168.0.0/16 # RFC 1918 локальная частная сеть (LAN)
acl localnet src fc00::/7 # RFC 4193 диапазон локальной частной сети
acl localnet src fe80::/10 # RFC 4291 локальные (подключенные напрямую) машины
acl SSL_ports порт 443
acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # суслик
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файлмейкер
acl Safe_ports порт 777 # мультилинк http
acl метод CONNECT CONNECT
http_access запретить !Safe_ports
http_access запретить ПОДКЛЮЧЕНИЕ !SSL_ports
http_access разрешить диспетчеру локального хоста
http_access менеджер запрета доступа
включить /etc/squid/conf.d/*
http_access разрешить локальный хост
http_access разрешить всем
включить /etc/squid/conf.d/*
https_port 0.0.0.0:3128 перехват ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB tls-cert=/usr/local/squid/etc/Root-ca-cert.pem cert=/usr/local/squid/etc /rootCA.crt key=/usr/local/squid/etc/rootCA.key options=SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=/usr/local/squid/etc/dhparam.pem
Включенная конфигурация из /etc/squid/conf.d представляет собой файл с именем debian.conf:
#
# Настройки конфигурации Squid для Debian
#
# Журналы управляются logrotate в Debian
logfile_rotate 0
# Для дополнительной безопасности пакеты Debian разрешают только
# localhost для использования прокси при новых установках
#
#http_access разрешить локальную сеть
как просили:
4 августа 12:25:47 socks systemd[1]: Запуск Squid Web Proxy Server...
4 авг 12:25:52 socks squid[9474]: 04.08.2021 12:25:52| FATAL: для HTTPS_port 0.0.0.0:3128 не настроен действительный сертификат подписи.
4 августа 12:25:52 socks squid: FATAL: не настроен действительный сертификат подписи для HTTPS_port 0.0.0.0:3128
4 авг 12:25:52 socks squid[9474]: 04.08.2021 12:25:52| Squid Cache (версия 4.13): аварийное завершение работы.
4 августа 12:25:52 socks squid[9474]: Использование ЦП: 5,132 секунды = 5,128 пользователя + 0,004 системы
4 августа 12:25:52 socks squid[9474]: Максимальный размер резидента: 62224 КБ
4 августа 12:25:52 socks squid[9474]: Ошибки страницы с физическим вводом-выводом: 0
4 августа, 12:25:52 socks systemd[1]: squid.service: Процесс управления завершен, код = завершено, статус = 1/FAILURE
4 августа 12:25:52 socks systemd[1]: squid.service: Ошибка с результатом «код выхода».
4 августа, 12:25:52 socks systemd[1]: не удалось запустить Squid Web Proxy Server.
