以前の名前:
動作条件: --enable-ssl
デフォルト値: サーバー証明書のエラーは、トランザクションを終了します。
提案された設定:
sslproxy_cert_sign <signing algorithm> acl ...
次の証明書の署名アルゴリズムがサポートされています。
- signTrusted
- サインは、エンドユーザのブラウザが信頼しているCA証明書で構成された証明書に配置されています。
これは、信頼できる発信元サーバの証明書のデフォルトです。
- signUntrusted
- X509_V_ERR_CERT_UNTRUSTED ブラウザエラーとなるサインを保証します。
これは自己署名されていない、信頼できないオリジンサーバ証明書のデフォルトです。(ssl::certUntrusted を参照)
- signSelf
- ブラウザで X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERTエラー を生成する、正しいCNと自己署名証明書を使用してサインします。
これは、自己署名オリジンサーバ証明書のデフォルトです。
これは、高速のACLタイプがサポートされています。
sslproxy_cert_sign ACL(s)が一致したとき、Squidは証明書を生成するために対応する署名アルゴリズムを使用し、以降のすべての sslproxy_cert_sign オプションを無視します。(最初の一致のみ有効)
ACL(s) の一致が無かった場合、デフォルトの署名アルゴリズムは、オリジンサーバ証明書の取得・検証時に検出されたエラーによって決定されます。
警告: Squidがドメイン名でバンピングの 接続(CONNECT)要求をしている場合、QUID_X509_V_ERR_DOMAIN_MISMATCH と ssl:certDomainMismatch は、sslproxy_cert_adaptで使用することができます。
しかし、他の全ての場合において(IPアドレスを使った接続やインターセプトされたSSL接続)、bump-server-firstが利用されてもSquidは証明書の生成時にドメインのミスマッチを発見できない。