<div dir="ltr"><div>Hello Squid,</div><div><br></div><div>I am trying the sslBump and just following the doc, i tried to also some random tutorial on the web that mostly looks like copy pasta of the wiki. All i got is a FATAL. .. . .</div><div><br></div><div><div>2014/12/05 17:07:24.472| src/ssl/support.cc(1584) readSslX509CertificatesChain: Certificate is self-signed, will not</div><div> be chained</div><div>2014/12/05 17:07:24.500| src/ssl/support.cc(1446) contextMethod: Using SSLv2/SSLv3.</div><div>2014/12/05 17:07:24.500| src/ssl/support.cc(857) configureSslContext: Setting RSA key generation callback.</div><div>2014/12/05 17:07:24.500| src/ssl/support.cc(860) configureSslContext: Setting CA certificate locations.</div><div>2014/12/05 17:07:24.505| src/ssl/support.cc(903) configureSslContext: Not requiring any client certificates</div><div>2014/12/05 17:07:24.505| Initializing https_port <a href="http://0.0.0.0:3129">0.0.0.0:3129</a> SSL context</div><div>2014/12/05 17:07:24.505| src/tools.cc(564) leave_suid: leave_suid: PID 10872 called</div><div>2014/12/05 17:07:24.505| src/tools.cc(586) leave_suid: leave_suid: PID 10872 giving up root, becoming '_squid'</div><div>FATAL: No valid signing SSL certificate configured for HTTPS_port <a href="http://0.0.0.0:3129">0.0.0.0:3129</a></div></div><div><div>Squid Cache (Version 3.HEAD-20140626-r13480): Terminated abnormally.</div></div><div><br></div><div>my certificates are all right </div><div>2014/12/05 17:07:24.505| Initializing https_port <a href="http://0.0.0.0:3129">0.0.0.0:3129</a> SSL context<br></div><div>but sundenly they are i dont recheck or something ?</div><div><br></div><div>the only non logged code i see is this one :</div><div><br></div><div><div>    if (!pkey || !cert || !X509_check_private_key(cert.get(), pkey.get())) {</div><div>        pkey.reset(NULL);</div><div>        cert.reset(NULL);</div><div>    }</div></div><div><br></div><div>But i swear i follow the doc and create the certificate normally.</div><div><br></div><div>Is there a particular CN to use ?</div><div>Shall i emit a self signed root and then another certificate for the proxy ??? is this error not related at all ? with the certificate on the sslbump lines ?</div><div><br></div><div>Conf:</div><div># Squid normally listens to port 3128</div><div>http_port 3128</div><div>https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=2MB  cert=/etc/squid/sq</div><div>uid-proxy.crt  key=/etc/squid/squid-proxy.key</div><div><br></div><div># dont forget ssl_crtd -c -s /var/db/squid/ssl when setup</div><div>always_direct allow all</div><div>ssl_bump client-first  all</div><div>sslproxy_cert_error allow all</div><div># Or may be deny all according to your company policy</div><div># sslproxy_cert_error deny all</div><div>sslproxy_flags DONT_VERIFY_PEER</div><div>sslcrtd_program /usr/local/bin/ssl_crtd -s /var/db/squid/ssl -M 2MB</div><div>sslcrtd_children 5</div><div><br></div><div><br></div><div>Info:</div><div><div> # ls /var/db/squid/ssl</div><div>certs     index.txt size</div></div><div><br></div><div><br></div>-- <br><div class="gmail_signature"><div>---------------------------------------------------------------------------------------------------------------------<br>() ascii ribbon campaign - against html e-mail <br>/\ </div></div>
</div>