<div dir="ltr">Have you looked at the options forceddomain and ssldomain under the cache_peer directive?  Those may be just what you need.<br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 21, 2016 at 8:14 PM, Kristopher Lalletti <span dir="ltr"><<a href="mailto:kristopher@lalletti.ca" target="_blank">kristopher@lalletti.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi All,<br>
<br>
I'm replacing an Apache setup as a reverse-proxy with Squid v3.5, and I've hit a small snag.<br>
<br>
Basically, I need to tell squid to pass the proper SSL SNI name to the backend webserver which is accessed via SSL, and naturally, the SSL SNI service-name (<a href="http://service.foo.com" rel="noreferrer" target="_blank">service.foo.com</a>) is not the server-hostname (<a href="http://webserver1.foo.com" rel="noreferrer" target="_blank">webserver1.foo.com</a>), because I've got 3 servers providing for that service-name.<br>
<br>
Valid Request to my backend server:<br>
curl --verbose --resolve service.foo.com:10.10.10.10 <a href="https://service.foo.com/" rel="noreferrer" target="_blank">https://service.foo.com/</a><br>
<br>
Bad requests to my backend server:<br>
curl --verbose --header 'Host: <a href="http://service.foo.com" rel="noreferrer" target="_blank">service.foo.com</a>' <a href="https://webserver1.foo.com/" rel="noreferrer" target="_blank">https://webserver1.foo.com/</a><br>
curl --verbose <a href="https://webserver1.foo.com/" rel="noreferrer" target="_blank">https://webserver1.foo.com/</a><br>
curl --verbose <a href="https://10.10.10.10/" rel="noreferrer" target="_blank">https://10.10.10.10/</a><br>
<br>
I've looked at the configuration that was generated for the cached_peer, and it came to this:<br>
<br>
cache_peer <a href="http://webserver1.foo.com" rel="noreferrer" target="_blank">webserver1.foo.com</a> parent 443 0 proxy-only no-query no-digest originserver login=PASSTHRU connection-auth=on round-robin ssl sslflags=DONT_VERIFY_PEER front-end-https=auto name=rvp_webserver1<br>
<br>
Unfortunately, cached_peer doesn't seem to have any directives about this, which leads me to believe there may be a magic SSL Squid ACL that would tell the cache_peer to transpose the requested hostname as part of the SSL SNI hello message, or something like this...<br>
<br>
Any advice/orientation to approach the problem would be much appreciated.<br>
<br>
Cheers<br>
Kris<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br></div>