Q&A
###前提・実現したいこと
http と https の両方をキャッシュするように squid で proxy を立てています。
https のキャッシュのために、中間CA証明書を独自CAで作っています。
このプロキシーは、 npm や composer の install などが、ときどき、異常に時間がかかることがあるので、
それを改善することが、主な目的としています。
独自CA ではなくて、Let's Encrypt で作成した証明書を使うことはできないでしょうか?
###発生している問題・エラーメッセージ
実際に、Let's Encrypt で作成した証明書を、squid.conf で、次のように設定してみましたが、
negotiating でエラーになります。
http_port 3129 ssl-bump
cert=/etc/letsencrypt/fullchain.pem
key=/etc/letsencrypt/privkey.pem
generate-host-certificates=on
dynamic_cert_mem_cache_size=4MB
####クライアント側
$ export https_proxy=http://proxy.hoge.com:3129 $ curl https://www.google.co.jp % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
####サーバー側(proxy.hoge.com)
2017/03/28 21:31:16| Error negotiating SSL connection on FD 14: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher (1/-1)
証明書をchain.pemに変更して再実行
squid.conf で、証明書を chain.pem に設定変更してみましたが、同じようにエラーになります。
http_port 3129 ssl-bump
cert=/etc/letsencrypt/chain.pem
key=/etc/letsencrypt/privkey.pem
generate-host-certificates=on
dynamic_cert_mem_cache_size=4MB
###補足情報
- centos7
- squid 3.5
- 独自CAではうまく動いていた
回答1件
0
generate-host-certificates=onという設定がありますが、これは「SquidでHTTPSをキャッシュさせるために、ホスト側のHTTPS証明書をでっち上げる」というオプションです。
もちろん、それをしなければ「HTTPSの結果をキャッシュする」ということは実現不可能なのですが、当然ながらまっとうな証明書が第三者に発行されることはないので、生成される証明書はどうしてもオレオレCAからの発行となります。
「SSL通信の途中に介入する」という、言い方を変えれば中間者攻撃のようなことをやっている以上、正当な証明書での通信とは両立不可能です。
投稿2017/03/28 23:24
総合スコア146544
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/04/01 04:45
2017/04/01 05:29 編集