我需要设置一个反向代理,它拦截HTTPS请求,解密它们,执行身体适应,最后转发重新加密的请求。
我现在正在使用Squid,它为eCAP插件和ssl碰撞提供支持:http://wiki.squid-cache.org/Features/SslBump
如果我理解得很好,通过配置SSL碰撞,我可以完全按照上面的说法进行操作。但是,ssl碰撞暂时不起作用。
这是我的Squid配置:
https_port 8080 cert=/etc/squid/cert.pem key=/etc/squid/key.pem
http_port 3128 ssl-bump cert=/etc/squid/cert.pem key=/etc/squid/key.pem dynamic_cert_mem_cache_size=4MB generate-host-certificates=on
cache_peer 52.170.25.214 parent 8080 0 no-query originserver login=PASS
#always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
客户端,在尝试向https:// 127.0.0.1:8080发送请求时,我收到以下错误:
Connection reset by peer
如果目标服务器正在运行HTTPS,则会发生这种情况。看起来Squid正在尝试建立一个简单的HTTP连接而不是HTTPS请求。实际上,服务器端我收到SSL23_GET_CLIENT_HELLO错误。
我的配置有什么问题吗?有什么我错过了SSL凹凸的工作原理吗?
答案 0 :(得分:0)
我深入研究了这个问题,这就是我发现的:
1)不需要ssl-bump选项
2)问题是在以下行中缺少ssl选项
cache_peer 52.170.25.214 parent 8080 0 no-query originserver login=PASS **ssl**