https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Squid-Kit-TLS-CA_Debian 2026-05-14T16:10:25Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Squid-Kit-TLS-CA_Debian&diff=69092&oldid=prev 2026-04-28T10:04:41Z

<p>Die Seite wurde neu angelegt: „ =Content Scan= *Auf dem Client muss das CA Zertifikat des Proxy installiert sein. *Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem…“</p> <p><b>Neue Seite</b></p><div><br /> <br /> =Content Scan=<br /> *Auf dem Client muss das CA Zertifikat des Proxy installiert sein.<br /> *Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Client.<br /> *Client denkt er kommuniziert mit dem Original Server<br /> *Virenscan ist möglich<br /> *Webserver denkt die Anfrage kommt von einem normalen Client<br /> *Prinzip der Man in the Middle Attacke<br /> {{#drawio:proxy-4}}<br /> =Installation von squid=<br /> ;Wir brauchen eine angepasste Version von squid<br /> ;Diese können wir selbst komplilieren oder das squid-openssl Paket von nutzen<br /> *apt install squid-openssl<br /> =Erstellen eines Selbstsignierten Zertifikates=<br /> ;Verzeichnis anlegen<br /> *mkdir /etc/squid/certs<br /> *cd /etc/squid/certs<br /> ;Generieren Sie ein lokales selbstsigniertes CA-Zertifikat und geheimen Schlüssel (in derselben Datei))<br /> *openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout squid_proxyCA.pem -out squid_proxyCA.pem -subj &quot;/CN=proxy-ca&quot;<br /> *chown -R proxy:proxy squid_proxyCA.pem<br /> *chmod 0400 squid_proxyCA.pem<br /> ;Wir extrahieren das ca.crt aus dem Container<br /> *openssl x509 -inform PEM -in squid_proxyCA.pem -out squid_proxyCA.crt<br /> ;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist<br /> *cp squid_proxyCA.crt /usr/local/share/ca-certificates<br /> *update-ca-certificates<br /> <br /> =Zertifikat auf den Clients installieren=<br /> !!!'''Wichtig Wichtig Wichtig'''!!!<br /> *squid_proxyCA.crt auf die Clients kopieren.<br /> ;Firefox<br /> *Burgermenu<br /> **Einstellungen<br /> ***Nach Zertifikaten suchen<br /> ****Zertifikate anzeigen<br /> *****Zertifizierungsstellen importieren<br /> ;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist<br /> <br /> *sudo cp squid_proxyCA.crt /usr/local/share/ca-certificates<br /> *sudo update-ca-certificates<br /> <br /> =Zertifikats Cache anlegen=<br /> ;security_file_certgen — SSL certificate generator for Squid.<br /> *Das Generieren und Signieren von SSL-Zertifikaten nimmt Zeit in Anspruch.<br /> *Squid kann diesen Helfer als externen Prozess verwenden, um die Arbeit zu erledigen.<br /> *Die Kommunikation erfolgt über TCP-Sockets, die an die Loopback-Schnittstelle gebunden sind.<br /> *Dieser Helfer kann einen Festplattencache mit Zertifikaten verwenden, um die Antwortzeiten bei wiederholten Anforderungen zu verbessern.<br /> *Es kann auch ohne Cache arbeiten und generiert bei jeder Anfrage neue Zertifikate.<br /> <br /> <br /> <br /> */usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB<br /> *chown -R proxy:proxy /var/spool/squid<br /> <br /> =Einfügen in der squid.conf=<br /> ;unter die http_access rules<br /> #nativer Zugriff<br /> http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1<br /> ssl_bump bump all<br /> <br /> =Restart von Squid=<br /> *systemctl restart squid<br /> =Misc=<br /> ;Hier ist ein Befehl, um die am häufigsten zwischengespeicherten Domänen anzuzeigen. <br /> *awk 'BEGIN {FS=&quot;[ ]+&quot;}; {print $7}' &lt; /var/log/squid/access.log | awk 'BEGIN {FS=&quot;/&quot;}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head</div>

Thomas.will