Tâche #31595
Mis à jour par Emmanuel GARETTE il y a environ 3 ans
Deux variables ont été ajoutés dans l'onglet Squid de gen_config :
- Squid / "Activer le déchiffrement HTTPS"
- Squid2 / "Activer le déchiffrement HTTPS sur la seconde instance de Squid"
Ces deux variables permettre d'activer le déchiffrement des flux HTTPS réalisé à a travers le proxy.
Dans ce cas, le proxy a la capacité de connaitre l'ensemble des URL utilisé par l'utilisateur. Dans les journaux il y aura donc les URL complètes et non uniquement le nom de domaine comme c'est le cas sans cette fonctionnalité.
Dans ce contexte, le proxy génère un certificat pour chaque domaine visité et propose ce certificat à l'utilisateur.
Pour que le client navigateur web valide ce certificat, il faut que l'autorité de certification soit reconnue reconnu par celui-ci.
Toutes les applications utilisant le proxy sont concernés.
h3. Proxy système sur Debian est dérivé
Copier le fichier /etc/eole/squid_CA.crt dans le répertoire du client :/usr/local/share/ca-certificates/ et taper la commande :
<pre>sudo update-ca-certificates</pre>
h3. Proxy système sur Windows
Copier le fichier /etc/eole/squid_CA.crt sur le poste. Cliquer droit dessus et faire "installer le certificat". Le certificat doit être mis dans le "magasin de certificat" : "Autorités de certification racines de confiance".
Les applications communes comme Edge, Chromium, les mises à jours, ... reconnaitrons ainsi cette autorité.
h3. Installer le certificat sur Firefox
Dans le "gestionnaire de certificats", présent dans l'onglet "Vie privée" des préférences du logiciel, se rendre dans l'onglet "Autorités". Il alors nécessaire d'importer le fichier /etc/eole/squid_CA.crt disponible sur l'Amon.
Lors de l'importation penser à cocher "Confirmer cette AC pour identifier des sites web". navigateur.
- Squid / "Activer le déchiffrement HTTPS"
- Squid2 / "Activer le déchiffrement HTTPS sur la seconde instance de Squid"
Ces deux variables permettre d'activer le déchiffrement des flux HTTPS réalisé à a travers le proxy.
Dans ce cas, le proxy a la capacité de connaitre l'ensemble des URL utilisé par l'utilisateur. Dans les journaux il y aura donc les URL complètes et non uniquement le nom de domaine comme c'est le cas sans cette fonctionnalité.
Dans ce contexte, le proxy génère un certificat pour chaque domaine visité et propose ce certificat à l'utilisateur.
Pour que le client navigateur web valide ce certificat, il faut que l'autorité de certification soit reconnue reconnu par celui-ci.
Toutes les applications utilisant le proxy sont concernés.
h3. Proxy système sur Debian est dérivé
Copier le fichier /etc/eole/squid_CA.crt dans le répertoire du client :/usr/local/share/ca-certificates/ et taper la commande :
<pre>sudo update-ca-certificates</pre>
h3. Proxy système sur Windows
Copier le fichier /etc/eole/squid_CA.crt sur le poste. Cliquer droit dessus et faire "installer le certificat". Le certificat doit être mis dans le "magasin de certificat" : "Autorités de certification racines de confiance".
Les applications communes comme Edge, Chromium, les mises à jours, ... reconnaitrons ainsi cette autorité.
h3. Installer le certificat sur Firefox
Dans le "gestionnaire de certificats", présent dans l'onglet "Vie privée" des préférences du logiciel, se rendre dans l'onglet "Autorités". Il alors nécessaire d'importer le fichier /etc/eole/squid_CA.crt disponible sur l'Amon.
Lors de l'importation penser à cocher "Confirmer cette AC pour identifier des sites web". navigateur.