Reverse Proxy 11.5.1 Problem mit Zertifikatskette
Verfasst: Mi 08.07.2015, 18:05
Der Reverse Proxy verwendet die falschen Zertifikate
Originale Konfigurtaion squid-reverse.conf
https_port 443 dhparams=/rootdisk/config/dhparams.pem cert=/etc/ssl/squid-reverse.pem accel capath=/etc/ssl/certs options=!ALL:NO_SSLv2,NO_SSLv3,CIPHER_SERVER_PREFERENCE,SINGLE_DH_USE cipher=ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS defaultsite=localhost name=tls_port
acl tls_port_acl myportname tls_port
Bei dieser Konfiguration kommt es immer wieder zu Fehlern und Problemen mit mobilen Geräten.
Editierte Konfiguration /data/not_supported/cp/squid-reverse.conf
https_port 443 dhparams=/rootdisk/config/dhparams.pem cert=/data/wg/16627994.crt key=/data/wg/comple_at.key cafile=/data/wg/16627994.ca-bundle accel options=!ALL:NO_SSLv2,NO_SSLv3,CIPHER_SERVER_PREFERENCE,SINGLE_DH_USE cipher=ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS defaultsite=localhost name=tls_port
acl tls_port_acl myportname tls_port
Aufruf der neuen Konfiguration:
/etc/sv/squid-reverse/run
#!/bin/sh
exec 2>&1
test -f /rootdisk/config/dhparams.pem || openssl dhparam -out /rootdisk/config/dhparams.pem 1024
exec /usr/sbin/squid -N -s -f /data/not_supported/cp/squid-reverse.conf
Mir wurde vom Support gesagt das mit Version 11.5 das Problem behoben sein wird, leider nicht.
Originale Konfigurtaion squid-reverse.conf
https_port 443 dhparams=/rootdisk/config/dhparams.pem cert=/etc/ssl/squid-reverse.pem accel capath=/etc/ssl/certs options=!ALL:NO_SSLv2,NO_SSLv3,CIPHER_SERVER_PREFERENCE,SINGLE_DH_USE cipher=ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS defaultsite=localhost name=tls_port
acl tls_port_acl myportname tls_port
Bei dieser Konfiguration kommt es immer wieder zu Fehlern und Problemen mit mobilen Geräten.
Editierte Konfiguration /data/not_supported/cp/squid-reverse.conf
https_port 443 dhparams=/rootdisk/config/dhparams.pem cert=/data/wg/16627994.crt key=/data/wg/comple_at.key cafile=/data/wg/16627994.ca-bundle accel options=!ALL:NO_SSLv2,NO_SSLv3,CIPHER_SERVER_PREFERENCE,SINGLE_DH_USE cipher=ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS defaultsite=localhost name=tls_port
acl tls_port_acl myportname tls_port
Aufruf der neuen Konfiguration:
/etc/sv/squid-reverse/run
#!/bin/sh
exec 2>&1
test -f /rootdisk/config/dhparams.pem || openssl dhparam -out /rootdisk/config/dhparams.pem 1024
exec /usr/sbin/squid -N -s -f /data/not_supported/cp/squid-reverse.conf
Mir wurde vom Support gesagt das mit Version 11.5 das Problem behoben sein wird, leider nicht.