<div dir="ltr">Forgot to add.  The actual cert is world readable.<br><br>[admin@dsg214 ~]# ll /data/cacerts/../certs/a4a521af41327a4ab3ff1feb16a1a76888a0c2ea.crt<br>-rw-r--r-- 1 admin root 1108 Feb 18 00:21 /data/cacerts/../certs/a4a521af41327a4ab3ff1feb16a1a76888a0c2ea.crt</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 17, 2015 at 5:18 PM, Hector Chan <span dir="ltr"><<a href="mailto:hectorchan@gmail.com" target="_blank">hectorchan@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi All,<br><br>I have a question about using sslcapath in cache_peer.  My <a href="http://server.example.com" target="_blank">server.example.com</a> has a self-signed cert, which I imported into my squid box under /data/certs.  The following cache_peer line actually worked.  However, if I remove the sslcafile, squid won't verify the self-signed cert.<br><div><br>cache_peer <a href="http://server.example.com" target="_blank">server.example.com</a> parent 443 0 \<br>       no-query originserver ssl \<br>       forceddomain=<a href="http://server.example.com" target="_blank">server.example.com</a> \<br>       login=PASS \<br>       sslcert=/data/certs/certificate sslkey=/data/certs/key \<br>       ssloptions=NO_SSLv2,NO_SSLv3 \<br>       sslcafile=/data/cacerts/72af835f.0 \<br>       sslcapath=/data/cacerts<br><br>[admin@dsg214 cacerts]# ls -l<br>total 0<br>lrwxrwxrwx 1 admin root 53 Feb 18 00:22 35fa123a.0 -> ../certs/a4a521af41327a4ab3ff1feb16a1a76888a0c2ea.crt<br><br></div><div>Running openssl command from the squid box verified the certificate chain ok with the -CApath option, which really puzzled me.<br></div><div># openssl s_clients -CApath /data/certs -connect <a href="http://server.example.com:443" target="_blank">server.example.com:443</a><br><br></div><div>Any ideas?<br><br>Thanks,<br>Hector<br></div><div><br></div><br></div>
</blockquote></div><br></div>