Install Squid3 Proxy / Cache untuk HTTPS dengan SSL-BUMP di Debian 8
Lama belum bikin catatan biar ga lupa, Lansung saja login akses root
Tahap 1
#apt-get update
#apt-get install devscripts -y
#apt-get install openssl -y
#apt-get install libssl-dev -y
Tahap 2
kali ini langsung istall dari source , bukan dari binary debian atau built debian
dunlut souce dan install dengan meng enable an --with-openssl --enable-ssl-crtd --enable-linux-netfilter
#wget http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.27.tar.gz
#tar zxvf squid-3.5.27.tar.gz
#cd squid-3.5.27
#./configure --prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --datadir=/usr/share/squid --sysconfdir=/etc/squid --libexecdir=/usr/lib/squid --mandir=/usr/share/man --enable-inline --disable-arch-native --enable-async-io=8 --enable-storeio="ufs,aufs,diskd,rock" --enable-removal-policies="lru,heap" --enable-delay-pools --enable-cache-digests --enable-icap-client --enable-follow-x-forwarded-for --enable-auth-basic="DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB" --enable-auth-digest="file,LDAP" --enable-auth-negotiate="kerberos,wrapper" --enable-auth-ntlm="fake,smb_lm" --enable-external-acl-helpers="file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group" --enable-url-rewrite-helpers="fake" --enable-eui --enable-esi --enable-icmp --enable-zph-qos --disable-translation --with-swapdir=/var/spool/squid --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid --with-filedescriptors=65536 --with-large-files --with-default-user=proxy --with-openssl --enable-ssl-crtd --enable-linux-netfilter
pastikan tidak ada error dan klo ada error biasanya ada dependesis packet yg blm terinstall
#make && make install
setelah make dan install bisa di cek
#squid -v
Tahap 3
Generate ssl
mkdir /etc/squid/ssl
#openssl req -new -newkey rsa:2048 -days 3652 -nodes -x509 -keyout /etc/squid/ssl/keyCA.pem -out /etc/squid/ssl/keyCA.pem
#openssl x509 -in /etc/squid/ssl/keyCA.pem -outform DER -out /etc/squid/ssl/CA.der
ikuti intrusksi pada layar
mengaktifkan ssl database
#/usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db
#chown -R proxy:proxy /var/lib/ssl_db/
Langkah 4
Edit /etc/squid/squid.conf
tabahkan persis di bawah http_port 3127
http_port 3127 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/keyCA.pem
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cafile /etc/squid/ssl/CA.der
trus cek konfigurasi nya
#squid -k reconfigure
Membuat cache di directory
#squid -z
bikin startup script squid
#touch /etc/init.d/squid
# nano /etc/init.d/squid
copy kan script squid-alt dari https://gist.github.com/billyriantono/d49b99cfd2ddb59f266f
#chmod 755 /etc/init.d/squid
#update-rc.d squid defaults
selanjut nya reboot dan cek apakah squid berjalan normal
Tahap 5
Copy atau dunlut file CA.der yang ada di /etc/squid/ssl
import sertifikat CA.der ke browser / pc client
cara import nya di bawah ini
arahkan browser anda ke ip dan port 3128 untuk http dan port 3127 untuk httpsuntuk lebih jelas bisa lihat gambar di bawah ini
Untuk mempermudah setting squid bisa dari webmin
sumber https://github.com/jpelias/squid3-ssl-bump/blob/master/Install%20Squid%203.4%20with%20ssl%20bump%20on%20Debian%208%20(Jessie)
Tahap 1
#apt-get update
#apt-get install devscripts -y
#apt-get install openssl -y
#apt-get install libssl-dev -y
Tahap 2
kali ini langsung istall dari source , bukan dari binary debian atau built debian
dunlut souce dan install dengan meng enable an --with-openssl --enable-ssl-crtd --enable-linux-netfilter
#wget http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.27.tar.gz
#tar zxvf squid-3.5.27.tar.gz
#cd squid-3.5.27
#./configure --prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --datadir=/usr/share/squid --sysconfdir=/etc/squid --libexecdir=/usr/lib/squid --mandir=/usr/share/man --enable-inline --disable-arch-native --enable-async-io=8 --enable-storeio="ufs,aufs,diskd,rock" --enable-removal-policies="lru,heap" --enable-delay-pools --enable-cache-digests --enable-icap-client --enable-follow-x-forwarded-for --enable-auth-basic="DB,fake,getpwnam,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB" --enable-auth-digest="file,LDAP" --enable-auth-negotiate="kerberos,wrapper" --enable-auth-ntlm="fake,smb_lm" --enable-external-acl-helpers="file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,time_quota,unix_group,wbinfo_group" --enable-url-rewrite-helpers="fake" --enable-eui --enable-esi --enable-icmp --enable-zph-qos --disable-translation --with-swapdir=/var/spool/squid --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid --with-filedescriptors=65536 --with-large-files --with-default-user=proxy --with-openssl --enable-ssl-crtd --enable-linux-netfilter
pastikan tidak ada error dan klo ada error biasanya ada dependesis packet yg blm terinstall
#make && make install
setelah make dan install bisa di cek
#squid -v
Tahap 3
Generate ssl
mkdir /etc/squid/ssl
#openssl req -new -newkey rsa:2048 -days 3652 -nodes -x509 -keyout /etc/squid/ssl/keyCA.pem -out /etc/squid/ssl/keyCA.pem
#openssl x509 -in /etc/squid/ssl/keyCA.pem -outform DER -out /etc/squid/ssl/CA.der
ikuti intrusksi pada layar
mengaktifkan ssl database
#/usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db
#chown -R proxy:proxy /var/lib/ssl_db/
Langkah 4
Edit /etc/squid/squid.conf
tabahkan persis di bawah http_port 3127
http_port 3127 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/keyCA.pem
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cafile /etc/squid/ssl/CA.der
trus cek konfigurasi nya
#squid -k reconfigure
Membuat cache di directory
#squid -z
bikin startup script squid
#touch /etc/init.d/squid
# nano /etc/init.d/squid
copy kan script squid-alt dari https://gist.github.com/billyriantono/d49b99cfd2ddb59f266f
#chmod 755 /etc/init.d/squid
#update-rc.d squid defaults
selanjut nya reboot dan cek apakah squid berjalan normal
Tahap 5
Copy atau dunlut file CA.der yang ada di /etc/squid/ssl
import sertifikat CA.der ke browser / pc client
cara import nya di bawah ini
arahkan browser anda ke ip dan port 3128 untuk http dan port 3127 untuk httpsuntuk lebih jelas bisa lihat gambar di bawah ini
sumber https://github.com/jpelias/squid3-ssl-bump/blob/master/Install%20Squid%203.4%20with%20ssl%20bump%20on%20Debian%208%20(Jessie)
Komentar
Posting Komentar