Eu já tenho um proxy reverso do squid trabalhando em dois sites de teste.
Meus dois sites são www.test1.com e www.test2.com
Meu arquivo de configuração atual está parecido com este
/etc/squid3/squid.conf
acl test1_acl dstdomain www.test1.com
acl test2_acl dstdomain www.test2.com
aclSSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !Safe_ports
http_access allow localhost manager
http_access deny manager
http_access allow pi1_acl
http_access allow pi2_acl
http_access allow localhost
http_access deny all
http_port 80 accel defaultsite=127.0.0.1
cache_peer 192.168.1.x parent 80 0 proxy-only name=test1
cache_peer 192.168.1.y parent 80 0 proxy-only name=test2
cache_peer_access test2 allow test2_acl
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 20% 2880
refresh_pattern . 0 20% 4320
Como eu disse, essa configuração funciona, mas eu queria adicionar alguns sites https. Eu fiz o meu melhor para seguir o exemplo aqui , mas ele já está configurado um pouco diferente do recomendado formato de configuração (ou pelo menos o formato que vem por padrão).
Mais informações no site https para o qual desejo encaminhar:
Ele já tem um arquivo .key e .crt, e https funciona bem nele.
Copiei o arquivo .key e .crt para a caixa do squid e fiz referência à localização desses arquivos no arquivo de configuração. (não tenho certeza se devo deixar o arquivo .crt e .key no servidor, mas eu fiz)
Eu não fiz nenhuma outra alteração no servidor ... então, se eu deveria, não vi isso em lugar nenhum.
Aqui está o meu novo arquivo de configuração.
/etc/squid3/squid.conf
#new lines
https_port 443 accel defaultsite=127.0.0.1 cert=/path/to/myCert.crt key=/path/to/myKey.key
acl newServer_acl dstdomain www.newserver.com
http_access allow newServer_acl
cache_peer 192.168.1.z parent 443 0 proxy-only name=newserver ssl sslcafile=/path/to/myCert.crt
#end new lines
acl test1_acl dstdomain www.test1.com
acl test2_acl dstdomain www.test2.com
aclSSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !Safe_ports
http_access allow localhost manager
http_access deny manager
http_access allow pi1_acl
http_access allow pi2_acl
http_access allow localhost
http_access deny all
http_port 80 accel defaultsite=127.0.0.1
cache_peer 192.168.1.x parent 80 0 proxy-only name=test1
cache_peer 192.168.1.y parent 80 0 proxy-only name=test2
cache_peer_access test2 allow test2_acl
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 20% 2880
refresh_pattern . 0 20% 4320
Esta é minha primeira vez configurando um proxy reverso com o squid, ou com um site https, então tenho certeza que é um pequeno erro, mas eu olhei através de outros arquivos de configuração, e não consigo encontrar um problema.
Qualquer ajuda é apreciada.
Da minha pesquisa, não parece que este seja um problema simples no arquivo de configuração. O Squid tem que ser compilado usando um flag --enable-ssl , e isso parece ser bastante difícil com distribuições baseadas no Debian. Parece-me que o squid é mais ideal para distribuições baseadas em RPM. Veja aqui para mais informações.
Vou marcar isso como uma resposta por enquanto, a menos que alguém poste algo que faça mais sentido depois.