Squidによる透過型プロキシ設定はネット上に数多くの情報があり簡単に設定できますが、主にHTTPに限定された情報が殆どです。

昨今のWEBサイトはSSL対応が推奨されており、まだまだ非SSLサイトは多いものの著名なWEBサイトはほぼSSLとなっています。

このため、プロキシにおいてもSSLに対応させたいところですが、従来のSquidの透過型プロキシでは、SSLに対応していませんでした。

ところが、最近のSquidは動的SSL証明書発行(Dynamic SSL Certificate Generation)に対応しており、これによりSSL対応の透過型プロキシを構築できるようです。具体的にはSquid自体にSSL証明書を設定し、SSLの通信の場合はSquidがSSLのネゴシエーションを肩代わりします。このため、クライアントは目的のWEBサイトとではなくSquidとSSLコネクションを生成します。※自己証明書を使用できますが最近のブラウザはきちんとした証明書でないと警告を出したり、接続できなかったりするので、自己証明書の作成にも工夫が必要です。

せっかくなので、自宅のCentOS 6にもうちょっと仕事させたくSSL対応透過型プロキシを導入しようと思ったのですが致命的な問題が・・・




動的SSL証明書発行を使用するには、Squidのコンパイル時に‘–enable-ssl-crtd’(動的SSL証明書発行を有効化すると思われる)を付ける必要があるのですが、現在CentOS 6で提供されているSquidにはこれがないために、下記(ssl_crtd)が存在しません。

[root@centos ~]# /usr/lib64/squid/ssl_crtd -c -s /var/lib/ssl_db

一応、これを実行しなくともSquidの設定はできて起動もするのですが、ブラウザから警告がでたり、接続ができなかったりするので、当たり前ですが使い物になりません。

という訳で、Yumでパッケージ管理できないものは入れない方針としているので諦めました。CentOS 7提供のSquidではそのままいけるような情報もありますが、CentOS 7にした際にあらためて試してみようと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)