目前,我将 http(443) 请求重定向到 squid 配置的 https_port。它按预期工作。它终止与 Squid 中安装的 ssl 证书的 ssl 连接。然后代理流量。
在这种设置下,最终用户当然会收到非法证书错误。
我想建立一个本地 CA,并将该本地 CA 的公共证书安装到最终用户客户端 PC 中。Squid 应该获取目标域名,它应该在本地 CA 中动态为该目标域创建一个 SSL 证书。因为我在客户端 PC 中的受信任根证书颁发机构中安装了 CA 公共证书,所以客户端 IE 不会出现任何错误,信任站点证书并提供真正的透明 https 代理。
开源工具 imspector 成功地完成了相同的设置,以实现另一个目的。
我尝试找到一种用 squid 实现这种设置的方法,我需要您的善意评论。
答案1
答案2
如果您的用户位于活动目录域中,您可以使用组策略将代理上的证书推送到工作站。
计算机配置->策略->Windows 设置->安全设置->公钥策略/受信任的根证书颁发机构。
将您的 .der 证书放入其中。