鱿鱼Peek/Bump/Splice (自签名证书)

Question

TL:博士；Squidv5.7不包括生成的证书

中的发布者

在过去，我能够通过以下方法进行HTTPS数据缓存：

1. 建筑鱿鱼：

VERSION='4.11' ./configure --with-openssl --enable-ssl-crtd' ...

1. 并创建自签名证书。

sudo openssl req -new -newkey rsa:2048 -nodes \
-x509 -sha256 -extensions v3_ca -days 365 \
-keyout squid-ca-key.pem -out squid-ca-cert.pem \
-subj "/C=AU/ST=WA/L=Perth/O=ACME Pty Ltd/OU=Innovation/CN=squid.d2i.net.au/emailAddress=innovation@squid.d2i.net.au"

1. 将所有权更改为代理用户squid (redhat)或proxy (ubuntu)
2. 并将squid.conf设置为：

http_port 3128 \
  ssl-bump \
  generate-host-certificates=on \
  dynamic_cert_mem_cache_size=4MB \
  cert=/opt/squid-4.11/certs/squid-ca-cert-key.pem

sslcrtd_program /opt/squid-4.11/lib/security_file_certgen \
   -s /opt/squid-4.11/var/swap/ssl_db -M 16MB

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
ssl_bump splice all

然而，最近使用Squidv5.7的设置给我作为Squid带来了困难，尽管动态生成证书使Issuer:值保持空白。从openssl s_client输出中可以看到：

下载文件的完整示例如下：

openssl s_client \
-proxy squid.d2i.net.au:3128 -servername github.com \
-connect https://github.com/neovim/neovim/releases/download/v0.4.4/nvim-linux64.tar.gz

你知道为什么Squid服务可能不向我的客户提供有效的证书吗？像curl这样的服务正在返回这样的错误：

sudo curl --proxy squid.d2i.net.au:3128 https://github.com

curl：(60) SSL:无法获得X 509的更多详细信息：https://curl.se/docs/sslcerts.html curl无法验证服务器的合法性，因此无法建立到服务器的安全连接。要了解更多关于这种情况和如何解决的问题，请访问上面提到的网页。

Answer 1

这比我预期的要容易:我忘记添加创建证书的-subj标志，或者当我第一次在Ansible中这样做时，我需要common_name值(尽管已经成功地创建了它)：

- name: Create certificate signing request (CSR) for new certificate
  community.crypto.openssl_csr_pipe:
    common_name: "{{ inventory_hostname }} personal computer"
    privatekey_path: "{{ key_dir }}/{{ inventory_hostname }}.key"
    basic_constraints:
      - 'CA:TRUE'
      - 'pathlen:0'
    basic_constraints_critical: yes
    subject_alt_name:
      - "DNS:{{ inventory_hostname }}.localdomain"
  run_once: true
  register: csr