Univention Bugzilla – Bug 18756
Squid mit SSL Support
Last modified: 2018-09-13 15:38:13 CEST
Ticket: 2010062310000711 Squid in UCS 2.3 ist derzeit ohne SSL-Support gebaut: squid (2.5.5-4) unstable; urgency=low * debian/control - Removed depdendecies on libssl-dev (linking GPL with SSL is not free) (Closes: #251988) * debian/rules - Removed --enable-ssl from configure ... # ./configure --help | grep ssl --enable-ssl Enable ssl gatewaying support using OpenSSL
*** Bug 23462 has been marked as a duplicate of this bug. ***
Erneut angefragt an Ticket #2011121221002385
squid3 wurde aus errata3.0-0 nach ucs3.0-1 importiert (sec update) und der SSL Support wurde per patch aktiviert. Per UCR Template ist die SSL Konfiguration nicht möglich. Dies muss (und soll) händisch erfolgen. Test "Reverse Proxy mit SSL": 3 Testrechner, zwei UCS Master (einer mit dem aktuellen squid Paket) und eine Client Rechner B (UCS Master) 10.200.7.70: * nichts zu tun hier Rechner A (UCS Master) 10.200.7.60: * (univention-)squid installieren * SSL Zertifikat und Schlüssel von Rechner B nach /opt/proxy/cert.pem und /opt/proxy/private.key kopieren * /etc/squid3/squid.conf um folgendes ergänzen (IP Adresse des cache_peer ist die von Rechner B) /etc/squid3/squid.conf: http_port 3128 +https_port 443 cert=/opt/proxy/cert.pem key=/opt/proxy/private.key defaultsite=master.univention.qa vhost +cache_peer 10.200.7.70 parent 443 7 no-query proxy-only originserver ssl sslflags=DONT_VERIFY_PEER name=myproxy +acl MASTER dstdomain master.univention.qa +http_access allow MASTER +cache_peer_access myproxy allow MASTER +cache_peer_access myproxy deny all * apache beenden und squid3 neu starten Testrechner: * Auf einem Client (Arbeitsplatz Rechner) kann nun der Reverse Proxy getestet werden * Dafür muss der DNS Name von Rechner B auf die IP des Rechners A umgebogen werden. /etc/hosts: # IP_Rechner_A Name_Rechner_B 10.200.7.60 master.univention.qa * Bei Zugriff auf "master.univention.qa" über HTTPS sollte man nun auf Rechner B (10.200.7.70) landen
SSL-Support ist korrekt aktiviert und Changelog-Eintrag vorhanden. root@master:~# squid3 -v Squid Cache: Version 3.1.6 configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-ssl' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -g -Wall -O2' 'LDFLAGS=' 'CPPFLAGS=' 'CXXFLAGS=-g -O2 -g -Wall -O2' --with-squid=/var/build/temp/tmp.SkS9IA7YtP/pbuilder/squid3-3.1.6
UCS 3.0-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"