d-stream, Да он может вовсе и никакой не директор, а просто мой ушастый коллега :) Директор, который так расписывается в собственном бессилии, да еще экспертного, блин, центра - эт чего за директор такой?
Не все программы умеют читать настройки прокси, некоторые слишком тупы для этого и тупо лезут по дефолту. Понять туннель на роутере, а винда пусть по своему дефолту ходит.
Systemshik, Насчет "купить" - не знаю. Squid позволяет статистику собрать и так (правда ее еще обсчитать надо, а почему-то никто не берется написать толковый обсчетчик статистики), но для нормальной статистики без бампинга никуда.
Здесь надо сказать, что без него никуда в любом случае - другого способа прочитать урл внутри клиентского соединения просто нет.
То есть обычно последовательность такая:
(понятно, что есть домен, что все компы внесены в него, что есть и работают групповые политики)
- создается собственный CA, сертификат(ы) которого распихиваются всем клиентам в доверенные политиками. Это очень важный момент, опускать его нельзя, именно он и обеспечивает возможность для прокси незаметно подменить сертификат.
- в этом CA выпускается сертификата subCA для прокси и для него же обычный клиентский сертификат
- настраивается прокси, включается бампинг, все клиенты ходят только через прокси (тоже очень существенный момент), создается список исключений типа QUIK (который в принципе через бампинг не работает)
- прокси собирает логи, проверяет авторизацию - все как обычно, логи чем-то надо парсить
В конце прошлого года в "Системном администраторе", незадолго до того, как он сдох - была пара статей про настройку squid - как раз про бампинг
seeklay, Ага, щаззз. Сами-то пробовали? Я вот пробовал. Во-первых, именно DigiCert узнав о том, что из РФ - сразу отправит в пешее эротическое. Я пробовал с GlobalSign договориться, вроде все ничего, но они такой ценник выкатили, что начальство бы мне голову оторвало :) И потом, там не бесконечное количество, а конечное - 30, 40, 50...
То есть обычный сертификат нельзя сделать промежуточным CA?
Нет, конечно :) В сертификате нельзя изменить ничего после того, как он выпущен - и в этом его смысл - в том, что некая контора отвечает своим авторитетом (и деньгами) за ту инфу, которая в этом сертификате размещена. Разумеется, я про общеизвестные CA, не про корпоративные.
Другу надо много сертификатов
Зачем? Проверка по EKU? Бреешься, общеизвестные CA выпускают только с EKU Web server и Web client. Разные имена хостов? Бери wildcard. Если можно по клиентам распихать свой сертификат - выпускай в собственном CA и не компостируй моск
Даня, ты задачу изложи. Ты можешь подписать в своем CA все что угодно каким угодно образом, но проблема в том, что твоему CA никто не верит и никто его не знает.
Dmytro Boyko, После того, как ESXi встала и полетела, на консоли будет довольно скромный интерактив, в котором практически ничего сделать нельзя. Не будет даже командной консоли - только цепляться с другой тачки через веб-морду, ssh, сферу (если она есть).
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
Станислав Лутовинов, Если нужно пускать весь трафик с определенного IP через VPN - не надо. Правда, может тормозить, мне пришлось ради этого на VPS прокси поставить, иначе https-соединения очевидно тормозили.
