<div dir="ltr">Hi,<div><br></div><div>I am facing an issue with Squid 3.5 with SSL Bump configuration, i already configure it without SSL bump and it works fine. but after configuring intercept process it shows the below error:</div><div><br></div><div><div><b>No valid signing SSL certificate configured for HTTPS_port [::]:3128</b></div></div><div><br></div><div>below snippet from the Squid configuration file:</div><div><br></div><div><div><i>https_port 3128 intercept ssl-bump \</i></div><div><i>  generate-host-certificates=on \</i></div><div><i>  dynamic_cert_mem_cache_size=4MB \</i></div><div><i>  cert=/etc/squid/ssl_cert/myCA.pem</i></div><div><i><br></i></div><div><i># For squid 3.5.x</i></div><div><i>sslcrtd_program /usr/lib64/squid/ssl_crtd  -s /var/lib/ssl_db -M 4MB</i></div><div><i><br></i></div><div><i>acl step1 at_step SslBump1<br></i></div><div><i>ssl_bump peek step1</i></div><div><i>ssl_bump bump all</i></div></div><div><br></div><div>i used the below link as guid in creating the certificate:</div><div><a href="http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit">http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit</a><br></div><div><br></div><div>moreover, below are the result for squid -k command:</div><div><br></div><div><div>2017/05/09 09:38:26| Startup: Initializing Authentication Schemes ...</div><div>2017/05/09 09:38:26| Startup: Initialized Authentication Scheme 'basic'</div><div>2017/05/09 09:38:26| Startup: Initialized Authentication Scheme 'digest'</div><div>2017/05/09 09:38:26| Startup: Initialized Authentication Scheme 'negotiate'</div><div>2017/05/09 09:38:26| Startup: Initialized Authentication Scheme 'ntlm'</div><div>2017/05/09 09:38:26| Startup: Initialized Authentication.</div><div>2017/05/09 09:38:26| Processing Configuration File: /etc/squid/squid.conf (depth 0)</div><div>2017/05/09 09:38:26| Processing: acl localnet src <a href="http://172.16.10.0/24">172.16.10.0/24</a>        # RFC1918 possible internal network</div><div>2017/05/09 09:38:26| Processing: acl localnet src <a href="http://192.168.0.0/16">192.168.0.0/16</a>        # RFC1918 possible internal network</div><div>2017/05/09 09:38:26| Processing: acl localnet src fc00::/7       # RFC 4193 local private network range</div><div>2017/05/09 09:38:26| Processing: acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines</div><div>2017/05/09 09:38:26| Processing: acl SSL_ports port 443</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 80         # http</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 21         # ftp</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 443                # https</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 70         # gopher</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 210                # wais</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 1025-65535 # unregistered ports</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 280                # http-mgmt</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 488                # gss-http</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 591                # filemaker</div><div>2017/05/09 09:38:26| Processing: acl Safe_ports port 777                # multiling http</div><div>2017/05/09 09:38:26| Processing: acl CONNECT method CONNECT</div><div>2017/05/09 09:38:26| Processing: http_access deny !Safe_ports</div><div>2017/05/09 09:38:26| Processing: http_access deny CONNECT !SSL_ports</div><div>2017/05/09 09:38:26| Processing: http_access allow localhost manager</div><div>2017/05/09 09:38:26| Processing: http_access deny manager</div><div>2017/05/09 09:38:26| Processing: http_access allow localnet</div><div>2017/05/09 09:38:26| Processing: http_access allow localhost</div><div>2017/05/09 09:38:26| Processing: http_access deny all</div><div>2017/05/09 09:38:26| Processing: https_port 3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/myCA.pem</div><div>2017/05/09 09:38:26| Starting Authentication on port [::]:3128</div><div>2017/05/09 09:38:26| Disabling Authentication on port [::]:3128 (interception enabled)</div><div>2017/05/09 09:38:26| Processing: sslcrtd_program /usr/lib64/squid/ssl_crtd  -s /var/lib/ssl_db -M 4MB</div><div>2017/05/09 09:38:26| Processing: acl step1 at_step SslBump1</div><div>2017/05/09 09:38:26| Processing: ssl_bump peek step1</div><div>2017/05/09 09:38:26| Processing: ssl_bump bump all</div><div>2017/05/09 09:38:26| Processing: cache_dir ufs /var/spool/squid 100 16 256</div><div>2017/05/09 09:38:26| Processing: coredump_dir /var/spool/squid</div><div>2017/05/09 09:38:26| Processing: refresh_pattern ^ftp:          1440    20%     10080</div><div>2017/05/09 09:38:26| Processing: refresh_pattern ^gopher:       1440    0%      1440</div><div>2017/05/09 09:38:26| Processing: refresh_pattern -i (/cgi-bin/|\?) 0    0%      0</div><div>2017/05/09 09:38:26| Processing: refresh_pattern .              0       20%     4320</div><div>2017/05/09 09:38:26| Initializing https proxy context</div><div>2017/05/09 09:38:26| Initializing https_port [::]:3128 SSL context</div><div>2017/05/09 09:38:26| Using certificate in /etc/squid/ssl_cert/myCA.pem</div><div>FATAL: No valid signing SSL certificate configured for HTTPS_port [::]:3128</div><div>Squid Cache (Version 3.5.20): Terminated abnormally.</div><div>CPU Usage: 0.027 seconds = 0.013 user + 0.014 sys</div><div>Maximum Resident Size: 37264 KB</div><div>Page faults with physical i/o: 0</div></div><div><br></div><div>I already do googling for this issue, and i found similar issue and it was solved by setting SELinux to permissive and reboot. i already did the same but its still not working. pleas advice </div><div><br></div><div>Thanks and Regards,</div><div><br></div><div>Mohammed AL-Jakri</div><div><br></div></div>