如何创建Squid的非权威SSL CA证书?
- By : Will
- Category : Forward Proxy

Forward Proxy
1 前言
一个问题,一篇文章,一出故事。
公司配置Squid SSL碰撞时需要使用CA证书,由于购买可以签名的从属CA证书价格不菲且手续繁琐,因此本章阐述如何自己创建非权威的SSL CA证书。
2 最佳实践
2.1 创建证书存储目录
mkdir -p /etc/squid/ssl_cert/
2.2 创建CA证书秘钥对
cd /etc/squid/ssl_cert/ openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout bump.key -out bump.crt
需要注意的是,
– 文件“bump.crt”为CA证书的公钥
– 文件“bump.key”为CA证书的私钥
– 文件“bump.crt”为非权威机构CA证书
– 非权威机构CA证书和权威证书机构颁发的CA证书区别是自签名普遍不受浏览器信任
2.3 转为公钥为der格式
cd /etc/squid/ssl_cert/ openssl x509 -in bump.crt -outform DER -out bump.der
注:“der”格式是Firefox支持导入的CA证书格式
参阅文档
========================
https://wiki.squid-cache.org/Features/DynamicSslCert
没有评论