ubuntuusers.de

Hallo,

ich habe auf einem Handy einen Browser auf dem kein Zertifikat installiert werden kann (dieser wird jedoch benötigt). Ist es möglich mit squid oder ähnlicher Software das Zertifikat auf dem Proxy bereitzustellen damit der Browser vom Handy zum Server kein Benutzerzertifikat benötigt?

Dann müsste der squid die HTTPS-Verbindung aufbrechen. Beachte, dass dann der Admin in die HTTPS-Verbindung schauen kann und damit die Verschlüsselung zerstört wird. Diese findet dann zwischen seinem Proxy und dem Server statt. Zwischen dir und dem Proxy von ihm auch, aber der Proxy kann mitlesen. Deiner ist nur ein zusätzliches Glied in der Kette. Wenn dann das Zertifikat zum Aufbrechen von deinem Squid nicht passt wird auch dein Handy meckern. Meine Empfehlung: Von Handys mit Anwendungszwang die Finger lassen. Bei Android kann man Zertifikate importieren, bei iOS auch, ich rate aber von diesen Geräte auch ab. Ich kenne für dein Problem leider keine echte Lösung, dein Browser braucht das Wildcart-Zertifikat oder du musst auf HTTPS verzichten (falls der Webserver das mitmacht).

terkisch schrieb:

Ist es möglich mit squid oder ähnlicher Software das Zertifikat auf dem Proxy bereitzustellen damit der Browser vom Handy zum Server kein Benutzerzertifikat benötigt?

SSL ist Ende-zu-Ende-Verschlüsselung, auch wenn es über einen Squid-Proxy geht. Von daher funktioniert das so nicht. Du kannst allerdings einen Reverse-Proxy einsetzen, also beispielsweise einen Apache, der unter einer anderen Domain läuft, und die Kommunikation mit dem eigentlichen Zielserver übernimmt.

misterunknown schrieb:

terkisch schrieb:

Ist es möglich mit squid oder ähnlicher Software das Zertifikat auf dem Proxy bereitzustellen damit der Browser vom Handy zum Server kein Benutzerzertifikat benötigt?

SSL ist Ende-zu-Ende-Verschlüsselung, auch wenn es über einen Squid-Proxy geht. Von daher funktioniert das so nicht. Du kannst allerdings einen Reverse-Proxy einsetzen, also beispielsweise einen Apache, der unter einer anderen Domain läuft, und die Kommunikation mit dem eigentlichen Zielserver übernimmt.

Dein Webserver darf dann aber nicht HTTPS nutzen, sonst funktioniert das nicht.

Ich halte generell von derartigen Admins nichts. Die wollen in verschlüsselten Verkehr eingreifen und haben damit Zugriff auf private Daten und die Benutzer denken, per HTTPS kann da niemand außer der Browser und der Webserver reinschauen (weil die Benutzer meistens nicht über die Überwachungspraktiken aufgeklärt werden).

Falls du in diesem Netzwerk Tor nutzen kannst: Mache das. Falls ein HTTP-Proxy nutzbar ist (und der Netzwerk-Proxy das durchlässt): Mache das.

Danke für die Infos, muss noch gucken wie und ob ich das umsetzte. Es soll nicht zur Überwachung dienen, das Setup wird zum testen von Software eingerichtet. Schreibe noch ein feedback dazu.

Am besten den Proxy über Port 80 oder 443 laufen lassen.

DJKUhpisse schrieb:

Dein Webserver darf dann aber nicht HTTPS nutzen, sonst funktioniert das nicht.

Doch, wo soll das Problem sein? (Beispiel).

Ich halte generell von derartigen Admins nichts. Die wollen in verschlüsselten Verkehr eingreifen und haben damit Zugriff auf private Daten und die Benutzer denken, per HTTPS kann da niemand außer der Browser und der Webserver reinschauen (weil die Benutzer meistens nicht über die Überwachungspraktiken aufgeklärt werden).

Offenbar hat der Dienst, den er bereitstellen will, ja eh kein vertrauenswürdiges Zertifikat. Wenn er diese Seite jetzt via Reverse-Proxy unter anderer Domain bereitstellt, die beispielsweise mit einem Lets Encrypt-Zertifikat gesichert ist, kann er zumindest mit Geräten zugreifen, bei denen man keine eigenen Root-Zertifikate hinterlegen kann.

Falls du in diesem Netzwerk Tor nutzen kannst: Mache das. Falls ein HTTP-Proxy nutzbar ist (und der Netzwerk-Proxy das durchlässt): Mache das.

Tor würde doch das Problem nicht lösen.

Ich dachte jetzt an die Situation, dass da HTTPS in einem (transparenten) Proxy in einem Netzwerk (z.B: in einer Firewall) HTTPS blockiert, es sei denn, er kann mitlesen. HTTP geht da durch. Wenn man dann am eigenen Proxy die Identifikation abstellt erkenne viele Firewalls das nicht.

Hallo, ich habe es geschafft per reverse proxy auf dem Zielserver zu landen.

SSLProxyMachineCertificateFile

war die Lösung.

Ich habe jedoch noch folgendes Problem. In der Url sind special chars. In der config steht in etwa folgendes.

ProxyPass / https://applikation/test/#/test?foo=bar

Leider funktioniert die Weiterleitung nicht. Jemand eine Idee wie Ich das lösen kann?

Vielen Dank.

Was passiert, wenn du die Raute und die darauf folgenden Zeichen weglässt? Wenn ich die akzeptierte Antwort zu Link richtig verstehe, wird der Teil zwischen Browser und Anwendung ausgetauscht und der Webserver sieht ihn für die URL-Verarbeitung gar nicht / sollte ihn nicht sehen.

Link wird nicht richtig verarbeitet. Ich habe es jetzt gelöst indem ich eine Extra Seite angelegt habe, und dort mit Hyperlinks weiterleite.

Danke für die Hilfe.