Bug 18756 - Squid mit SSL Support
Squid mit SSL Support
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: Squid
UCS 2.3
Other Linux
: P5 enhancement (vote)
: UCS 3.0-1
Assigned To: Felix Botner
Moritz Muehlenhoff
:
: 23462 (view as bug list)
Depends on:
Blocks: 47809
  Show dependency treegraph
 
Reported: 2010-06-23 18:16 CEST by Janis Meybohm
Modified: 2018-09-13 15:38 CEST (History)
4 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Janis Meybohm univentionstaff 2010-06-23 18:16:22 CEST
Ticket: 2010062310000711

Squid in UCS 2.3 ist derzeit ohne SSL-Support gebaut:

squid (2.5.5-4) unstable; urgency=low

  * debian/control
    - Removed depdendecies on libssl-dev (linking GPL with SSL is not free)
      (Closes: #251988)

  * debian/rules
    - Removed --enable-ssl from configure
...



# ./configure --help | grep ssl
   --enable-ssl            Enable ssl gatewaying support using OpenSSL
Comment 1 Moritz Muehlenhoff univentionstaff 2011-09-07 11:51:31 CEST
*** Bug 23462 has been marked as a duplicate of this bug. ***
Comment 2 Tim Petersen univentionstaff 2011-12-14 08:26:33 CET
Erneut angefragt an Ticket #2011121221002385
Comment 3 Felix Botner univentionstaff 2012-01-16 14:10:24 CET
squid3 wurde aus errata3.0-0 nach ucs3.0-1 importiert (sec update) und der SSL Support wurde per patch aktiviert.

Per UCR Template ist die SSL Konfiguration nicht möglich. Dies muss (und soll) händisch erfolgen.

Test "Reverse Proxy mit SSL":

3 Testrechner, zwei UCS Master (einer mit dem aktuellen squid
Paket) und eine Client

Rechner B (UCS Master) 10.200.7.70:
  * nichts zu tun hier

Rechner A (UCS Master) 10.200.7.60:
  * (univention-)squid installieren
  * SSL Zertifikat und Schlüssel von Rechner B nach
    /opt/proxy/cert.pem und /opt/proxy/private.key kopieren
  * /etc/squid3/squid.conf um folgendes ergänzen (IP Adresse des
    cache_peer ist die von Rechner B)
    /etc/squid3/squid.conf:
    http_port 3128
    +https_port 443 cert=/opt/proxy/cert.pem
key=/opt/proxy/private.key defaultsite=master.univention.qa vhost

    +cache_peer 10.200.7.70 parent 443 7 no-query proxy-only
originserver ssl sslflags=DONT_VERIFY_PEER name=myproxy

    +acl MASTER dstdomain master.univention.qa
    +http_access allow MASTER
    +cache_peer_access myproxy allow MASTER
    +cache_peer_access myproxy deny all

  * apache beenden und squid3 neu starten

Testrechner:
  * Auf einem Client (Arbeitsplatz Rechner) kann nun der Reverse
    Proxy getestet werden
  * Dafür muss der DNS Name von Rechner B auf die IP des Rechners A
    umgebogen werden.
    /etc/hosts:
    # IP_Rechner_A Name_Rechner_B
    10.200.7.60 master.univention.qa
  * Bei Zugriff auf "master.univention.qa" über HTTPS sollte man nun
    auf Rechner B (10.200.7.70) landen
Comment 4 Moritz Muehlenhoff univentionstaff 2012-02-27 11:18:31 CET
SSL-Support ist korrekt aktiviert und Changelog-Eintrag vorhanden.

root@master:~# squid3 -v
Squid Cache: Version 3.1.6
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-ssl' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -g -Wall -O2' 'LDFLAGS=' 'CPPFLAGS=' 'CXXFLAGS=-g -O2 -g -Wall -O2' --with-squid=/var/build/temp/tmp.SkS9IA7YtP/pbuilder/squid3-3.1.6
Comment 5 Sönke Schwardt-Krummrich univentionstaff 2012-03-04 14:34:12 CET
UCS 3.0-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"