[Проблема с SSL разбором сертификатов, выпущенных GlobalSign GCC R6 AlphaSSL CA 2023]

Помог коллега.

С помощью Mozilla Firefox сохранил с одного из сайтов сертификат GlobalSign GCC R6 AlphaSSL CA 2023 в формате pem.

Загрузил его в /etc/pki/ca-trust/source/anchors/, запустил команду update-ca-trust.

Убрал сайт из туннелинга - он стал нормально проходить через ssl bumping.

[Проблема с SSL разбором сертификатов, выпущенных GlobalSign GCC R6 AlphaSSL CA 2023]

Добрый день.

Сайты, у которых сертификат выпущен на основе GlobalSign GCC R6 AlphaSSL CA 2023, например, np26.ru, appm.ru - не разбираются в SSL Bump, браузер выдает что сертификаты не валидные. Добавил в раздел Trusted certificates SHA1 Fingerprint и GlobalSign GCC R6 AlphaSSL CA 2023, и корневого GlobalSign Root CA - R6 - все также. Приходится каждый сайт добавлять в список, который в SSL Rules идет в Tunnel. Как-то можно добавить эти корневые сертификаты в список доверенных?

[Заголовки HTTP proxy.]

В этой теме подсказали какие параметры добавить в squid.conf

forwarded_for off

with this line:

request_header_access X-Forwarded-For deny all

 

Вносить надо в темплейт 

 

/opt/kaspersky/kwts-appliance-addon/share/templates/squid.conf.template

Затем для применения изменений (перегенерации основного конфига) требуется в разделе встроенного прокси-сервера изменить любое значение и сохранить параметры. 

[Сохраняются ли внесенные вручную в squid.conf параметры]

Не вижу в /etc/squid файла squid.conf.template. Есть  squid.conf.default - это он?

[Сохраняются ли внесенные вручную в squid.conf параметры]

По рекомендации в этой теме добавил в squid.conf параметр

request_header_access X-Forwarded-For deny all

После перезагрузки параметр сохранится. Но сохранится ли он после изменения любых параметров через веб интерфейс?

[KWTS почему-то запрашивает авторизацию в браузере]

Настроен KWTS последней версии. Настроена аутентификация на прокси сервере через Kerberos и NTLM. Авторизация в браузере успешно проходит без запросов, т.е. пользователь открывает браузер и получает доступ в интернет. В журнале событий успешно фиксируется какой пользователь AD запрашивает адреса. Правила ограничения доступов, сделанные на группы AD, также успешно работают.

Но периодически при загрузке тех или иных страниц браузер показывает окно, что kswt.***.***.ru требует авторизацию. Если в этом окне нажать Отмена (или Esc на клавиатуре) - страница успешно догружается. Или можно нажать F5 - и страница успешно перегружается без запроса авторизации. Можно попробовать открыть ту же страницу в режиме Инкогнито - и она также успешно загружается.

В общем, окно авторизации возникает на разных страницах как будто случайным образом.

Пробовал отключить NTLM - авторизация все равно появляется.

Также пробовал в Kerberos replay cache.

Как пофиксить эту проблему?

[Перестало работать отображение Событий / статистике в окне Мониторинга / нет возможности создать Журнал трассировки]

Понял. Нельзя менять IP адрес. Вернул изначально полученный IP - заработало.

[Перестало работать отображение Событий / статистике в окне Мониторинга / нет возможности создать Журнал трассировки]

В какой-то момент перестало работать. Если заходишь в раздел События, в обоих закладках Трафик и Система после нажатия Найти с любыми условиями получаю сообщение "Получение событий завершилось с ошибкой".

В разделе Мониторинг перестало отображать статистику - как будто активности не было, хотя она точно была.

В разделе Узлы если попробовать запустить трассировку или получить результат трассировку - возвращает сообщение Нет данных.

 

Что с этим можно сделать?