<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">2017-06-21 19:46 GMT+03:00 Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 06/21/2017 10:15 AM, Nikita wrote:<br>
<br>
> Is it possible to allow self-signed SSL certificates for ICAP server<br>
> connections somehow?<br>
<br>
</span>Can you configure your OpenSSL library (or equivalent) to trust the ICAP<br>
server certificate? Squid deletages most of the certificate validation<br>
work to OpenSSL (or equivalent).<br>
<span class="gmail-"><br></span></blockquote><div><br>Probably worth a try, but generally it is undesirable in my case to modify global OpenSSL config.<br><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
<br>
> There is tls-flags=DONT_VERIFY_PEER flag, but in this case Squid<br>
> don't send it's own certificate to ICAP server<br>
<br>
</span>Why do you think tls-flags=DONT_VERIFY_PEER only works if Squid sends<br>
its own certificate? The two actions (from-peer certificate validation<br>
and sending of a certificate to a peer) seem unrelated to me.<br>
<span class="gmail-HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br>In my case for some unknown reasons Squid don't send its own certificate to ICAP server, probably because of DONT_VERIFY_PEER flag, but not sure here. BIO_do_handshake fails with "no certificate returned" on ICAP server side despite the fact that squid certificate was specified via tls-cert and tls-key options of icap_service config directive and ICAP server was configured to request client certificate. It seems need to investigate Squid source code in more detail to find some answers, thanks for advices.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-HOEnZb"><font color="#888888">
Alex.<br>
</font></span></blockquote></div><br></div></div>