Melanjutkan Tips & Trik yang sebelumnya tentang Install Squid3 Basic Config, kali ini DSI akan melanjutkan Tutorial Install Squid3 agar support untuk cache protokol / web https dengan fitur SSL-BUMP di Squid3.
Pastikan anda mengikuti langkah-langkah install squid3 pada artikel sebelumnya, bermaksud agar ketika mengikuti cara install squid3 part #2 ini anda tidak merasa bingung.
Berikut artikel sebelumnya:
Sebelum mulai, silahkan jalankan squid proxy anda, pastikan masih berjalan atau running dengan semestinya….
…Dan buka semua kebutuhan alat tempur seperti putty, winscp, notepad++ yang sudah anda download.
Langkah-langkah Install Squid3 Dengan Fitur SSL-BUMP
Langkah Pertama :
- Login ke squid proxy anda lewat ‘putty’ dan gunakan user ‘root’ yang sudah anda buat sebelumnya.
- Install paket tambahan agar mendukung saat mengaktifkan fitur “ssl_bump”.
[code]
apt-get install openssl -y
apt-get install libssl-dev -y
[/code] - Karena kita mau update, maka kita perlu hapus / remove squid yang sudah terinstal sebelumnya dan lakukan instal ulang tanpa melakukan instal paket yang sebelumnya sudah di lakukan.
Untuk menghapus atau remove instalasi squid3 sebelumnya, ketikan perintah berikut pada putty….
….masuk ke directory squid dan lakukan uninstall[code]
cd squid-3*
make uninstall
make clean
[/code] - Sampai disini untuk langkah pertama selesai.
Langkah Kedua :
- Install kembali squid anda dan aktifkan fitur tambahan ‘–enable-ssl-crtd dan –with-openssl’ pada saat ‘./configure’.
pastikan posisi anda masih pada directory #root./squid-3…lakukan perintah ./configure berikut pada putty:[code]
./configure –prefix=/usr –bindir=/usr/bin –sbindir=/usr/sbin –libexecdir=/usr/lib/squid –sysconfdir=/etc/squid –localstatedir=/var –libdir=/usr/lib –with-default-user=proxy –with-logdir=/var/log/squid –with-pidfile=/var/run/squid.pid –enable-ssl-crtd –with-openssl
sudo && make install
[/code] - Sampai sini seharusnya squid anda sudah berhasil di instal kembali dan sudah aktif untuk fitur “ssl-bump squid”…
…lakukan cek dengan mengetikan ‘squid -v’ pada putty, jika sudah ada info maka sudah dipastikan anda berhasil, jika tidak ada maka coba ikuti langkah sebelumnya.
Langkah Ketiga :
- Bikin folder yang nantinya untuk menyimpan file sertifikat
[code]
mkdir /etc/squid/ssl_cert
[/code] - Bikin Sertifikat menggunakan tool openssl :
[code]
openssl req -new -newkey rsa:2048 -days 3652 -nodes -x509 -keyout /etc/squid/ssl_cert/myCA.pem -out /etc/squid/ssl_cert/myCA.pem
openssl x509 -in /etc/squid/ssl_cert/myCA.pem -outform DER -out /etc/squid/ssl_cert/myCA.der
[/code]pada saat anda melakukan perintah di atas, anda akan di suruh mengisi beberapa form, anda juga bisa tanpa mengisi form tersebut dengan cara ketikan [enter] langsung.
- Lakukan perintah berikut untuk mengaktifkan ssl database
[code]
/usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db
chown -R proxy:proxy /var/lib/ssl_db/
[/code] - Sampai sini anda sudah selesai untuk pembuatan sertifikatnya.
Langkah Terakhir :
- Tambahkan / edit ‘squid.cof’ anda agar squid bisa cache ‘https’ lewat ‘winscp’
[code]
http_port 3127 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/myCA.pem
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump bump all
[/code]atau anda bisa lakukan seluruh perubahan dengan menghapus seluru isi squid.conf sebelumnya, dan masukan script di bawah ini:
- Terakhir reboot / restart Server Proxy anda
[code]
reboot
[/code]
Selesai sudah update squid anda, kini squid anda sudah support untuk cache konten https. Sebelum anda menjalankan squid, yang perlu anda lakukan adalah ambil sertifikat nya dulu lewat ‘winscp’ lihat gambar berikut, dan menyimpannya pada komputer anda.
Sekarang anda perlu impor / instal sertifikat yang sudah ada di komputer anda ke dalam browser yang akan di gunakan. Jika anda belum tau cara Impor Sertifikat anda bisa lihat artikel berikut:
Cara Impor Sertifikat Kedalam Browser Firefox dan Chrome
Tambahkan settingan proxy pada browser anda, lihat gambar berikut:
Jika sudah dilakukan semua, sekarang giliran anda untuk test Squid anda.
Contoh hasil Log :
Perlu di perhatikan, bahwa cara install squid3 https ini masih basic, dalam artian squid yang anda install belum bisa transparan dan cache dinamis konten.
Tunggu artikel DSI berikutnya, DSI akan menyajikan bagaimana konfigurasi squid agar bisa transparan dan support untuk cache dinamis konten.
Demikian tutorial install squid3 agar support web https. Semoga artikel ini bermanfaat buat anda semua. Jangan lupa tinggalkan komentar seputar artikel ini atau permasalahan anda saat instalasi squid.
Terimakasih
Hello Dr, in A large network it is not possible to install the certificate in all clients like hotspot ina 1 km area, is it possible to cache access by the client without concern a certificate.
Regards
Qamar
Hello Dr, in A large network it is not possible to install the certificate in all clients like a hotspot in a 1 km area, is it possible to cache access by the client without concern a certificate. or like fortigate, forticache provide a solution using ssl server to upload all certificate on the server to a required site like youtube exmp.below
any setting causes the FortiGate unit to re-encrypt the traffic with the FortiGate unit’s certificate rather than the original certificate. This configuration can cause errors for HTTPS clients because the name on the certificate does not match the name on the web site.
You can stop these errors from happening by configuring HTTPS web caching to use the web server’s certificate by setting webcache-https to ssl-server. This option is available for both firewall policies and explicit web proxy policies.
config firewall policy
The ssl-server option causes the FortiGate unit to re-encrypt the traffic with a certificate that you imported into the FortiGate unit. You can add certificates using the following command:
config firewall ssl-server
edit corporate-server
set ip
set port 443
set ssl-mode { full | half}
set ssl-cert
end
Where:
Web-Server-IP is the web server’s IP address.
Web-Server-Cert is a web server certificate imported into the FortiGate unit.
The SSL server configuration also determines whether the SSL server is operating in half or full mode and the port used for the HTTPS traffic.
You can add multiple SSL server certificates in this way. When web caching processing an SSL stream if it can find a certificate that matches the web server IP address and port of one of the added SSL servers; that certificate is used to encrypt the SSL traffic before sending it to the client. As a result the client does not generate SSL certificate errors.
Web caching uses the FortiGate unit’s FortiASIC to accelerate SSL decryption/encryption performance.
Regards
Qamar
root@PEDHO:~# /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db
Initialization SSL db…
/usr/lib/squid/ssl_crtd: Cannot create /var/lib/ssl_db
setelah saya enter dapetnya ini. gimana caranya agar bisa ya, kak?
yuuhuu…pagi maas…
sedikit ingin bertanya, kalau dengan menggunakan Ubuntu 16.04 apakah step nya untuk instalasi dan set Squid Proxy nya bisa menggunakan artikel ini juga kah maas…???
Terimakasih sebelumnya mas…