ということで、proxy の サーバとしてssl client認証で resumptionが使えるものとして stunnelを利用してみることに。
設定は
[squidproxy] accept = 8888 connect = 3128 cert = /root/cert/cert.pem key = /root/cert/privkey.pem ;client = yes verifyChain = yes verifyPeer = yes verify = 2 CAfile = /root/cert/cacert.pemとしてOKに。
clientは、stunnelが、上位proxyに対して sslcinetとして接続する場合に使うもののようで、
今回のように clientからの接続を受けつけるときは不要。
これをつけたら、clientからの接続に対して証明書を返さず接続を受けつけないことになった。CAfileには、クライアントから接続してくる(オレオレ)証明書のCA証明書を指定。
これでこのCAで署名したクライアントからのみの接続を受けつけることに。
これで、windows10 だと、Edge,Chromeからの接続については、一度認証のために証明書の選択を聞かれるが、1回選択したらその後は聞かれないようになって問題なく使えるようになった。
ただ、この stunnelのクライアント認証、今度は Firefoxだと接続してくれなくなってしまった。Edge,Chormeは エンジンが chronium系ということでうまくったのか?
コメントする