以前の名前:
動作条件: --enable-ssl
デフォルト値: none
提案された設定:
使用方法:
[ip:]port cert=certificate.pem [key=key.pem] [mode] [options...]
Squidで TLS または SSL 接続を介したクライアント要求を受け付けるするソケットアドレス。一般的に HTTPS と呼ばれる。
これは、アクセラレータモードで実行しているsquidの場合に最も有用ですし、アクセラレータレベルでの働くSSLの機能を必要とするでしょう。
あなたは、複数行にそれぞれソケットアドレスを指定し、それらにSSL証明書を and/or のオプションで指定することもできます。
mode(モード):
- acce
- アクセラレータ:加速(Accelerator) / リバース・プロキシ モード
- intercept
- ブラウザでの設定なしでリクエストをIP-レイヤーにて傍受(インターセプト)するのをサポートします。
NP(Not Possible?): 認証およびIPv6ポート上では無効にします。
- tproxy
- クライアントIPアドレスの発信基を詐称(spoofing)するためにリLinux の TPROXY をサポートします。
NP(Not Possible?): 認証あるいはIPv6ポート上では無効にします。
- ssl-bump
- ssl_bump ACLによって許可された各CONNECTリクエストについては、クライアント、およびサーバーとの安全な接続を確立して、それらがSquidを通り抜けるように HTTPSメッセージを解読して、解読されたHTTPメッセージとしてそれらを扱うように介入する。
"ssl_bump server-first"は、インターセプト SSL接続でのバンピング(bumping)を有効しリクエストをマッチするために必要です。
tproxy または intercept には必要です。
モードフラグを省略すると、デフォルトではフォワードプロキシモードが使用されます。
基本的なオプションについては http_port を参照してください。
TLS / SSL オプション:
- cert=
- SSL証明書へのパス(PEM形式)
- key=
- SSLプライベートキーファイルへのパス(PEM形式)。
指定されていない場合は、証明書ファイルは証明書とキーが組み合わされているとみなされます。
- version=
- サポートされているSSLのバージョン。
1 automatic (default)
2 SSLv2 only
3 SSLv3 only
4 TLSv1 only
- cipher=
- コロンで区切られた、サポートされている暗号のリスト。
- options=
- 様々なSSLエンジンオプション。とても重要。
次の中から:
NO_SSLv2 SSLv2 の使用を許可しない。
NO_SSLv3 SSLv3 の使用を許可しない。
NO_TLSv1 TLSv1.0 の使用を許可しない。
SINGLE_DH_USE temporary/ephemeralの(一時的な/暫時)DHキー交換を使用するときは、
必ず新しいキーを作成する。
オプションの完全なリストについては、OpenSSLのSSL_CTX_set_optionsマニュアルを参照してください。
- clientca=
- クライアント証明書を要求するときに使用するCAのリストのファイル。
- cafile=
- クライアント証明書を検証する際に使用するために追加のCA証明書のファイル。
clientcaが未設定のときに使用される。
- capath=
- クライアント証明書を確認する場合に使用するための、追加のCA証明書およびCRLを含んでいるディレクトリーのリスト。
- crlfile=
- capathで与えられたCRLに加え、クライアント証明書を確認する場合に使用する追加のCRLリストのファイルを追加します。
VERIFY_CRLフラグを意味を下に示します。
- dhparams=
- temporary/ephemeral(一時的な/暫時)のDHキー交換用のDHパラメーターを含んでいるファイル。
- sslflags=
- SSLの使用を変更する各種フラグ:
DELAYED_AUTH
すぐにクライアント証明書を要求しない。
ACLの処理において認証処理のリクエストは待ってください。(まだ実装されていない)
NO_DEFAULT_CA
OpenSSLに組み込まれたデフォルトのCAのリストを使用しないでください。
NO_SESSION_REUSE
セッションの再利用を可能にしないでください。各接続は、新しいSSLセッションになります。
VERIFY_CRL
クライアント証明書を受け入れるときに、CRLのリストを確認してください。
VERIFY_CRL_ALL
クライアント証明書チェーン内のすべての証明書のCRLのリストを確認してください。
- sslcontext=
- SSLセッションIDコンテキスト識別子。
- generate-host-certificates[=<on|off>]
- bumpされた CONNECT リクエストの転送先ホストのためのダイナミックにSSLサーバ証明書を作成します。
有効にすると証明書とキーのオプションは、生成された証明書に署名するために使用されます。
そうでないなら生成される証明書は、自己署名されます。
有効期限のあるCA証明書で生成された証明書では、証明書の有効期限はCAの証明書と等しい。生成された証明書が自己署名の場合、寿命は3年です。ssl-bumpが使用されている場合、このオプションはデフォルトで有効になっています。
詳細については、ssl-bumpオプションを参照してください。
- dynamic_cert_mem_cache_size=SIZE
- キャッシュで生成される証明書に費やすおおよそのRAMサイズの合計。
ゼロに設定すると、キャッシングは無効になっています。
デフォルト値は4MBです。
使用可能なオプションのリストについては、http_portを参照してください。