如何创建Squid的非权威SSL CA证书?

Forward Proxy

1 前言

一个问题,一篇文章,一出故事。
公司配置Squid SSL碰撞时需要使用CA证书,由于购买可以签名的从属CA证书价格不菲且手续繁琐,因此本章阐述如何自己创建非权威的SSL CA证书。

2 最佳实践

2.1 创建证书存储目录

mkdir -p /etc/squid/ssl_cert/

2.2 创建CA证书秘钥对

cd /etc/squid/ssl_cert/
openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout bump.key -out bump.crt

需要注意的是,
– 文件“bump.crt”为CA证书的公钥
– 文件“bump.key”为CA证书的私钥
– 文件“bump.crt”为非权威机构CA证书
– 非权威机构CA证书和权威证书机构颁发的CA证书区别是自签名普遍不受浏览器信任

2.3 转为公钥为der格式

cd /etc/squid/ssl_cert/
openssl x509 -in bump.crt -outform DER -out bump.der

注:“der”格式是Firefox支持导入的CA证书格式

参阅文档
========================
https://wiki.squid-cache.org/Features/DynamicSslCert

没有评论

发表回复

Forward Proxy
如何熟悉Squid的SSL碰撞II?

1 基础知识 1.1 Squid SSL碰撞的介绍 Squid SSL碰撞本质上是使用CA证书(根证 …

Forward Proxy
如何设置Squid目标地址访问控制?

1 前言 一个问题,一篇文章,一出故事。 由于公司的原本堆叠的正向代理的上层代理费用到期而撤销,原本 …

Forward Proxy
如何基于openSSH部署Socks代理服务?

1 前言 一个问题,一篇文章,一出故事。 笔者需要实现Socks代理服务以便于内网的电脑客户端可以通 …