Squidの透過型プロキシを通してWindows Updateできない

先日、Squid4で立ち上げた透過型プロキシを、Windows 10のクライアントPCから試していたら、Windows Updateができなくなってた。
立ち上げるまでの記事はこちら。

https://e-kamo.net/squid4-ssl-bump-transparent-proxy

余っているノートPCにLinuxを入れて、透過型プロキシ(Transparent Proxy)を作ってみました。SquidでSSL Bumpを設定して、クライアントPCのデフォルトゲートウェイをこのLinuxのIPアドレスに指定して使う想定です。昔はCentOSを好んで使っていたけど、サポート終了とかStreamとか聞こえてきて、よくわからないので、今回は比較的コミュニティが活発そうに見える、Rocky Linux 8.5をインストールしてみました。 Rocky Linux 公式ミラーサイト一覧から、日本のサイトを選んでブータブルISOイメージをダウンロードして、Rufus でブータブル...

いろいろググってみたら、squid-cache wikiというサイトで、SSL Bump設定を行って、Squidの透過型プロキシ環境でWindows Updateするために必要な設定が記載されていました。

wiki.squid-cache.org

SquidFaq/WindowsUpdate - Squid Web Proxy Wiki

https://wiki.squid-cache.org/SquidFaq/WindowsUpdate#Squid_with_SSL-Bump_and_Windows_Updates

英語がよくわからないのですが、Windows Updateで接続するURLリストを作成して、そのリストに一致する場合に splice するように設定するらしい。他にもいろいろ書いてあるけど意味がわからない。

※Windows Updateで接続するURLのリストを作成
vi /etc/squid/nobump.txt
～設定内容～
# WU (Squid 3.5.x and above with SSL Bump)
# Only this sites must be spliced.
update\.microsoft\.com
update\.microsoft\.com\.akadns\.net 
～ここまで～

※リストに一致したらspliceするよう変更
vi /etc/squid/squid.conf
～主な変更内容～
# for ssl_bump
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 4MB
sslproxy_cert_error allow all
#acl step1 at_step SslBump1
#ssl_bump peek step1
#ssl_bump bump all
acl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex -i "/etc/squid/nobump.txt"
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all
～ここまで～

※Windows Updateで接続するURLのリストを作成

vi /etc/squid/nobump.txt

～設定内容～

# WU (Squid 3.5.x and above with SSL Bump)

# Only this sites must be spliced.

update\.microsoft\.com

update\.microsoft\.com\.akadns\.net

～ここまで～

※リストに一致したらspliceするよう変更

vi /etc/squid/squid.conf

～主な変更内容～

# for ssl_bump

sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 4MB

sslproxy_cert_error allow all

#acl step1 at_step SslBump1

#ssl_bump peek step1

#ssl_bump bump all

acl DiscoverSNIHost at_step SslBump1

acl NoSSLIntercept ssl::server_name_regex -i "/etc/squid/nobump.txt"

ssl_bump splice NoSSLIntercept

ssl_bump peek DiscoverSNIHost

ssl_bump bump all

～ここまで～

Squidを再起動して、改めてWindowsでUpdateできるか確認。
ダメだ。できない。これじゃない？これか？

docs.microsoft.com

Windows Update / Microsoft Update の接続先 URL について

https://docs.microsoft.com/ja-jp/archive/blogs/jpwsus/wu-mu-list

ハマる予感。

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル