Добрый день!
Пытаюсь настроить Squid для корпоративной сети. Нужно работать в двух режимах непрозрачный с авторизацией по группам в АД, и прозрачный для разного рода устройств, которые либо не поддерживают WPAD, либо нет возможности указывать прокси в браузере вручную (гостевые android телефоны, ноутбуки, ПК и т.д).
С первым вариантом все в порядке.
Со вторым - затык. HTTP работает, HTTPS как бы тоже, но браузер ругается на поддельный сертификат. Устанавливать сертификаты на каждое новое устройство желания нет.
Поэтому вопрос:
Есть ли возможность настроить Сквид в прозрачном(!) режиме для работы с https без установки сквидовского сертификата на клиенты? В гугле искал, оф. документацию читал, ответа пока не нашел. Достаточно чтобы Сквид просто смотрел SNI в Client Hello, и пропускал (то есть splice) или делал terminate, в зависимости от SNI, ну и писал логи по этим сайтам. То есть можно обойтись без дешифровки (bump)
Спасибо
https://github.com/dlundquist/sniproxy
> https://github.com/dlundquist/sniproxyПо словам squid ssl SNI нашлось вот такое - http://wiki.squid-cache.org/Features/SslPeekAndSplice (я совершенно не понимаю, как это работает, мне не надо).
>> https://github.com/dlundquist/sniproxy
> По словам squid ssl SNI нашлось вот такое - http://wiki.squid-cache.org/Features/SslPeekAndSplice
> (я совершенно не понимаю, как это работает, мне не надо).Да, это я читал в первую очередь и не один раз. И судя с этой статьи, если я правильно ее понял, если делать
ssl_bump peek step1
ssl_bump splice all
то подмены сертификата сервера не происходит. Но браузер все равно ругается что сертификат поддельный. Почему, я до сих пор не понял
> https://github.com/dlundquist/sniproxyСпасибо за ссылку, возможно будет полезна.