<div dir="ltr"><div><div>Hi All,<br><br></div><div></div><div>My goal is to configure a reverse proxy for Outlook Anywhere clients using squid. <br><a href="http://wiki.squid-cache.org/ConfigExamples/Reverse/ExchangeRpc">http://wiki.squid-cache.org/ConfigExamples/Reverse/ExchangeRpc</a><br><br>This will replace existing TMG that my client is currently using.<br><br>However, when I run squid I get an error  "No valid signing SSL certificate configured for HTTPS_port".<br><br>Before, I was able to get OWA and HTTPS traffic using NGINX as reverse proxy but was getting connection errors when trying to use OutlookAnywhere. <br></div><div><br></div><div>So now I have been testing Squid but cannot get past the certificate installation which was painless under Nginx.<br><br></div><div></div><div>Configuration is based on an article below:<br></div><div><a href="https://sysadminfixes.wordpress.com/2013/01/25/exchanging-squids/">https://sysadminfixes.wordpress.com/2013/01/25/exchanging-squids/</a><br></div><div><br></div>I have been trying for several days now without much success to configure SSL certificate on my squid server.<br></div><div><br>Getting the " ...no valid signing certificate" every time.<br><br></div><div>I found few posts saying that it was not possible to use SSL certificates signed by public CA and self-signed certs must be used.<br></div><div><br></div><div>Can anyone confirm if this is a case?<br><br></div><div></div><div>Logs and config files below.<br></div><div><br>My domain name has been replaced with <i><a href="http://contoso.com">contoso.com</a></i> for confidentiality sake.<br></div><div><br>squid server- srv-<i><a href="http://squid.contoso.com">squid.contoso.com</a></i> / 3.3.3.201<br></div><div><br>uname -a<br>Linux srv-squid 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux<br><br></div><div><br></div><div>exchange server - <a href="http://exch.contoso.com">exch.contoso.com</a> / 10.2.2.30<br><br></div><div>SSL certificate:<br></div><div>obtained from StartSSL for <a href="http://mail.contoso.com">mail.contoso.com</a><br></div><div><br></div><div>SQUID.CONF<br></div><br><div>#### START<br><br></div><div>visible_hostname <a href="http://mail.contoso.com">mail.contoso.com</a><br>redirect_rewrites_host_header off<br>cache_mem 32 MB<br>maximum_object_size_in_memory 128 KB<br>#logformat combined %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %h" "%{User-Agent}>h" %Ss:%Sh ###this causes an error<br>access_log /var/log/squid3/access.log <br>cache_log /var/log/squid3/cache.log<br>cache_store_log none<br>cache_mgr nomail_address_given<br>forwarded_for transparent<br>### ignore_expect_100 ## not available in version 3.5<br>ssl_unclean_shutdown on<br>### The most important line <br> ### "cert" should contain Exchange certificate and key <br> ### "sslproxy_cafile" contains CA of root servers - StartSSL ?!<br>https_port <a href="http://mail.contoso.com:443">mail.contoso.com:443</a> accel cert=/home/kk/ssl/cert-mail/mail.contoso.com.pem defaultsite=<a href="http://mail.contoso.com">mail.contoso.com</a> key=/home/kk/ssl/cert-mail/mail.contoso.com.key<br><br>cache_peer exch.kk1.tech parent 443 0 proxy-only no-digest no-query originserver front-end-https=on login=PASS sslflags=DONT_VERIFY_PEER connection-auth=on name=Exchange<br><br>acl exch_url url_regex -i <a href="http://mail.contoso.com/owa">mail.contoso.com/owa</a><br>acl exch_url url_regex -i <a href="http://mail.contoso.com/microsoft-server-activesync">mail.contoso.com/microsoft-server-activesync</a><br>acl exch_url url_regex -i <a href="http://mail.contoso.com/rpc">mail.contoso.com/rpc</a><br><br>cache_peer_access Exchange allow exch_url<br>cache_peer_access Exchange deny all<br>never_direct allow exch_url<br>http_access allow exch_url<br>http_access deny all<br>miss_access allow exch_url<br>miss_access deny all<br>deny_info <a href="https://mail.contoso.com/owa">https://mail.contoso.com/owa</a> all<br></div><div>###END<br><br></div><div>ERROR<br></div><div>cache.log<br>2016/11/05 08:52:13| storeDirWriteCleanLogs: Starting...<br>2016/11/05 08:52:13|   Finished.  Wrote 0 entries.<br>2016/11/05 08:52:13|   Took 0.00 seconds (  0.00 entries/sec).<br>FATAL: No valid signing SSL certificate configured for HTTPS_port <a href="http://3.3.3.201:443">3.3.3.201:443</a><br>Squid Cache (Version 3.5.22): Terminated abnormally.<br>CPU Usage: 0.004 seconds = 0.000 user + 0.004 sys<br>Maximum Resident Size: 46624 KB<br>Page faults with physical i/o: 0<br><br></div><div>SQUID - compiled from sources<br></div><div>squid -v<br></div><div>Squid Cache: Version 3.5.22<br>Service Name: squid<br>configure options:  '--prefix=/usr' '--localstatedir=/var' '--libexecdir=/lib/squid3' '--srcdir=.' '--datadir=/share/squid3' '--sysconfdir=/etc/squid3' '--with-logdir=/var/log' '--with-pidfile=/var/run/squid3.pid' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=' '--enable-arp-acl' '--enable-esi' '--enable-ssl' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--with-ssl' '--disable-ipv6' '--with-openssl' --enable-ltdl-convenience<br><br></div><div>Appreciate any feedback<br><br></div><div>Cheers<br><br></div><div>Konrad<br><br></div><div><br><br></div></div>