11 Self signed Certificates

Damit Squid oder Apache als Proxy-Server HTTPS-Verbindungen abfangen und entschlüsseln können, müssen die von ihnen verwendeten Zertifikate von den Clients als vertrauenswürdig anerkannt werden. Hier ist, wie Sie dies erreichen können:

11.1 Erstellung des selbstsignierten CA-Zertifikats

1. Erstellen einer eigenen Zertifizierungsstelle (CA)

   openssl genpkey -algorithm RSA -out /etc/squid/ssl_cert/myCA.key -aes256
   openssl req -new -x509 -days 3650 -key /etc/squid/ssl_cert/myCA.key -out /etc/squid/ssl_cert/myCA.pem

   • Dies erstellt einen privaten Schlüssel und ein selbstsigniertes CA-Zertifikat.

11.2 Verwendung des CA-Zertifikats auf den Clients

Damit die Clients dem vom Proxy-Server ausgestellten Zertifikat vertrauen, müssen sie das CA-Zertifikat installieren. Hier sind die Schritte für verschiedene Betriebssysteme:

11.2.1 Windows

1. Kopieren Sie das CA-Zertifikat (myCA.pem) auf den Client-Rechner.
2. Doppelklicken Sie auf das Zertifikat, um den Zertifikat-Import-Assistenten zu öffnen.
3. Wählen Sie “Lokaler Computer” als Speicherort und klicken Sie auf “Weiter”.
4. Wählen Sie “Alle Zertifikate in folgendem Speicher speichern” und klicken Sie auf “Durchsuchen”.
5. Wählen Sie “Vertrauenswürdige Stammzertifizierungsstellen” und klicken Sie auf “OK”.
6. Klicken Sie auf “Weiter” und dann auf “Fertigstellen”, um den Import abzuschließen.

11.2.2 macOS

1. Kopieren Sie das CA-Zertifikat (myCA.pem) auf den Client-Rechner.
2. Doppelklicken Sie auf das Zertifikat, um es im Schlüsselbund zu öffnen.
3. Ziehen Sie das Zertifikat in den System-Schlüsselbund oder login-Schlüsselbund.
4. Öffnen Sie Schlüsselbundverwaltung, suchen Sie das Zertifikat und doppelklicken Sie darauf.
5. Erweitern Sie “Vertrauen” und setzen Sie “Beim Verwenden dieses Zertifikats” auf “Immer vertrauen”.

11.2.3 Linux (Debian-basierte Systeme)

1. Kopieren Sie das CA-Zertifikat (myCA.pem) auf den Client-Rechner.

2. Verschieben Sie das Zertifikat in das Verzeichnis für vertrauenswürdige Zertifikate:

   sudo cp /Pfad/zum/myCA.pem /usr/local/share/ca-certificates/myCA.crt

3. Aktualisieren Sie die Zertifikate:

   sudo update-ca-certificates

11.3 Zusammenfassung

Indem Sie das selbstsignierte CA-Zertifikat auf den Clients installieren, stellen Sie sicher, dass diese dem vom Proxy-Server ausgestellten Zertifikat vertrauen. Dies ist notwendig, um HTTPS-Verbindungen abzuhören und zu entschlüsseln, sei es mit Squid oder Apache. Diese Schritte ermöglichen die ordnungsgemäße Einrichtung und den Betrieb von Forward- oder Reverse-Proxies mit TLS-Interception.