У меня есть прокси-сервер Squid, использующий функцию sslbump, которая отлично работает с самозаверяющими сертификатами, но браузеры жалуются на это. Теперь я пытаюсь настроить сервер Squid в качестве подчиненного CA нашего центра сертификации Active Directory, чтобы браузеры доверяли сертификатам, созданным Squid. Вот обзор того, что я делаю, что не работает:
Это приводит к тому, что браузеры жалуются на сертификаты. Когда я просматриваю сертификат из браузера, я всегда получаю следующую ошибку: «Windows не имеет достаточно информации для проверки этого сертификата», и в пути сертификации нет центров сертификации. Шаги, которые я перечислил выше, более подробно Вот. Сертификаты - не моя сильная сторона, и я не знаю, что делать дальше. Я чувствую, что проблема может быть связана с тем, как я создал CSR, или, возможно, что мое понимание процесса в корне неверно. Любая помощь приветствуется.
И да, наши конечные пользователи знают об этом.
Ответ может быть запоздалым, но в любом случае вам нужно объединить закрытый ключ и подчиненный сертификат, которые вы получили от вашего корпоративного CA, чтобы сделать из него pem, который можно использовать в директиве cert = ssl-bump.
Больше информации на https://blog.diladele.com/2017/03/21/using-subordinate-ca-for-https-decryption-in-active-directory-integrated-squid/