Certificat auto-signé pour Squid - Bloqué sur les clients

Support Debian
#1

Bonjour à tous !

Actuellement je mets en place un proxy Squid sur une Debian Wheezy, le but étant d’intercepter toutes les requêtes d’un LAN qui vont sur internet.

Pour cela j’ai besoin d’utiliser des certificats pour intercepter les requêtes SSL
Avant d’acheter un certificat signé par une autorité accréditée, j’ai voulu tester le fonctionnement avec un certificat autosigné.

J’ai donc créé une autorité de certification, puis j’ai signé un certificat avec cette CA.
J’ai indiqué la clé privée et le certificat à Squid, cela fonctionne bien.

Seulement les différents navigateurs de mon client test agissent bizarrement.

Tout d’abord sur Chrome, aucune page HTTPS ne fonctionne, j’ai une erreur par exemple :
“Impossible d’accéder au véritable site www.youtube.com

Sur Firefox, je peux accéder à youtube après un avertissement de sécurité, là ça me va, mais par contre je peux pas obtenir de certificats pour mail.google.com
C’est le même avertissement que pour youtube sauf qu’il n’y a pas le “je comprends les risques”/“ajouter une exception”.

De plus j’ai essayé d’installer manuellement mon CA sur windows (mon client), il est bien présent dans la liste mais je suis toujours bloqué.

Je ne suis pas un spécialiste en sécurité et je ne connais que très peu le fonctionnement des certificats. Cela vous dit-il quelque chose ?
Je suppose que je n’aurai de toute façon pas ce genre de problème avec un certificat signé par une autorité accrédité mais ça me pose soucis de pas comprendre où ça coince :confused:

Merci de votre attention !

#2

Bonjour,
ton autorité de certification à du te donner un certificat en .cer (de mémoire), que tu as mis dans la base de certificat Window$ pour IE et seulement IE. Tu as aussi du le mettre dans la base Firefox pour Firefox … Si tu as fais cela (ce que je ne pense pas), tu devrais pouvoir te connecter à ton site sans aucun message d’erreur.

cdt

#3

Salut !

Merci de ta réponse, je ne suis pas sûr des formats concernant les certificats, j’ai suivi plusieurs HOW TO pour les générer, et de plusieurs manières différentes.

Ce ne serait pas plutôt des formats DER ? J’ai vu cela à un moment dans mes recherches.

En tout cas j’ai bien essayé dans les paramètre de chrome et il me renvoi sur l’outil de gestion des certificats de Windows, tout comme le fait firefox. C’est tout de même étonnant que Firefox affiche certains sites et en bloque d’autres non ?

Pour générer le CA j’ai fais ceci :

openssl genrsa -des3 1024 > ca.key openssl req -new -x509 -days 365 -key ca.key > ca.crt
Puis pour le certificat :

openssl genrsa 1204 > squid.key openssl req -new -key squid.key > squid.csr

Enfin j’ai signé le certificat :

openssl x509 -req -in squid.csr -out squid.crt -CA ca.crt -CAkey ca.key -CAcreateserial -CAserial ca.srl

Est-ce correct ?

Est-ce que les extensions sont bien respectées ? Et du coup quel est le format de certificat à mettre en place sur les navigateurs ?

#4

Saloute,

Les erreurs de navigateurs sont normales si tu n’as pas signé tes certificats avec une CA Root, c’est pour cela que tu dois rajouter la tienne manuellement.

Tu as installé ton certificat CA sur ton Windows ? Ou ça exactement (Trusted Root CA par exemple) ?

Ensuite sous Linux, les “extensions” ne sont présentes qu’à titre informatif. C’est différent pour Windows.

Il me semble que Chrome utilise le même magasin que Windows alors que Firefox à son propre magasin de certificats donc il faut faire attention.

Je me suis fait une toute petite doc sur OpenSSL, tu peux la récupérer via le lien ci-dessous. Cela pourra peut-être t’aider (n’hésites pas à revenir vers moi si tu vois des fautes importantes).

>> Doc OpenSSL

#5

Merci beaucoup pour ta réponse et ton document, qui me sera sans doute bien utile à comprendre ce que je fais.

Quand tu dis CA Root, ce sont les autorité de confiance connues des navigateurs ?

Alors à ce niveau là j’ai fais plusieurs manipulations, que je ne comprends pas forcément :frowning:
Tout d’abord que faut-il que j’installe ? Un certificat ou une autorité ?
Ce que j’ai fais, j’ai installé les certificats sur windows en passant par chrome, et je les ai mis dans les autorité de confiance, dans les autorité intermédiaire et les dans l’onglet personnel, rien ne fonctionne. Pour Firefox j’ai fais pareil.
Je me demande si je ne fais pas de mauvaises manipulations quant à la génération des certificats.

Oui ça j’en suis bien conscient, ma réelle question était de savoir si les extensions que j’ai mise sont bien adaptées au format du fichier, afin de ne pas me perdre dans les fichiers (entre .cert, .crt, .pem, .der je me perds un peu, sachant que je ne sais pas vraiment ce qu’ils représentent). De plus il faut que je les importe sur Windows après cela.

#6

[quote]
Actuellement je mets en place un proxy Squid sur une Debian Wheezy, le but étant d’intercepter toutes les requêtes d’un LAN qui vont sur internet.

Pour cela j’ai besoin d’utiliser des certificats pour intercepter les requêtes SSL[/quote]
C’est beau. Félicitation.