<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default"><font face="tahoma, sans-serif">I was able to get https working over the http connect tunnel, but I was still having issues with my client application connecting over the proxy. After some research it so happens that we have implemented the HTTPS proxy on the client side with libcurl. (implementing this - "<a href="https://daniel.haxx.se/blog/2016/11/26/https-proxy-with-curl/" target="_blank">https://daniel.haxx.se/blog/2016/11/26/https-proxy-with-curl/</a>"</font><font face="tahoma, sans-serif">).</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">So now my use case for the squid proxy is to be able to accept a HTTPS_proxy request from the client and tunnel it forward to the destination server. For that I copied over the CA bundle from the client into the proxy server and pointed the "tls-cert" option to that file --</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">https_port 3128 tls-cert=/etc/squid/ssl_cert/ca-bundle.crt<br></font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">I get the following error when starting the squid server --</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><div class="gmail_default"><i>Dec 14 10:03:42 squid[131539]: <b style="background-color:rgb(255,255,0)">FATAL: No valid signing certificate configured for HTTPS_port [::]:3128</b></i><br></div><div class="gmail_default"><br></div></font></div><div class="gmail_default"><font face="tahoma, sans-serif">How do I get this to work without having to create self-signed certs on the proxy server and importing that into the client ca-bundle. </font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">Am I missing any config steps in the squid.conf file? I think I have misunderstood the function of the "tls-cert" and "tls-cafile" options in the https_port line. </font></div><div class="gmail_default"><br></div><div class="gmail_default"><font face="tahoma, sans-serif">Thanks again for all the help!</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">Subhish</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Dec 12, 2018 at 6:53 PM Amos Jeffries <<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 13/12/18 12:50 pm, Subhish Pillai wrote:<br>
> Thanks Alex, that was very helpful.<br>
> <br>
> Based on your explanation, I just want to use squid as a blind TCP<br>
> tunnel carrying the HTTPS connection from client to app server. <br>
> <br>
> In that case, I don't need to use ssl_bump feature and the ssl_crtd<br>
> program for certificate management, is that correct?<br>
> <br>
<br>
Going by the description you gave of the client configuration, it should be.<br>
<br>
<br>
> Would this config file work to setup the TCP tunnel --<br>
<br>
...<br>
> ## Allow server side certificate errors such as untrusted certificates,<br>
> otherwise the connection is closed for such errors<br>
> sslproxy_cert_error allow all<br>
> <br>
> ## Accept certificates that fail verification (should only be needed if<br>
> using 'sslproxy_cert_error allow all')<br>
> sslproxy_flags DONT_VERIFY_PEER<br>
> <br>
<br>
These sslproxy_* options only apply when Squid is actively performing<br>
TLS to upstream servers. They have no place in the "blind tunnel" situation.<br>
(They also are deprecated in Squid-4, replaced by the<br>
tls_outgoing_options directive<br>
<<a href="http://www.squid-cache.org/Doc/config/tls_outgoing_options/" rel="noreferrer" target="_blank">http://www.squid-cache.org/Doc/config/tls_outgoing_options/</a>>).<br>
<br>
If the client software is sending CONNECT requests containing the HTTPS<br>
traffic, then there is absolutely nothing your config needs to do than<br>
let them send those requests to the proxy (as the default config does).<br>
<br>
You do not even need Squid to be built with TLS/SSL support. That is the<br>
meaning of "blind" in this setup.<br>
<br>
Amos<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail-m_-9032843994425435451gmail-m_513477958693775190gmail-m_1414858013399683177gmail-m_-8572090553610267571gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><p style="font-size:12.8px;margin:0in 0in 0.0001pt;background-image:initial;background-position:initial;background-repeat:initial"><b><span style="font-size:10pt;font-family:Arial,sans-serif">Subhish Pillai</span></b><span style="font-size:9.5pt;font-family:Arial,sans-serif"></span></p><p style="font-size:12.8px;margin:0in 0in 0.0001pt;background-image:initial;background-position:initial;background-repeat:initial"><font color="#444444"><span style="font-size:8pt;font-family:Arial,sans-serif">R&D Software Quality Engineer</span><span style="font-family:Arial,sans-serif;font-size:9.5pt"></span></font></p><p style="font-size:12.8px;margin:0in 0in 0.0001pt;background-image:initial;background-position:initial;background-repeat:initial"><font color="#444444"><span style="font-size:8pt;font-family:Arial,sans-serif">Broadcom | Brocade Storage Networking</span><span style="font-size:9.5pt;font-family:Arial,sans-serif"></span></font></p><p style="margin:0in 0in 0.0001pt;background-image:initial;background-position:initial;background-repeat:initial"><span style="font-size:8pt;color:rgb(68,68,68);font-family:Arial,sans-serif">T (720) 462-2900</span><br></p><p style="font-size:12.8px;margin:0in 0in 0.0001pt;background-image:initial;background-position:initial;background-repeat:initial"><img src="https://broadcom.okta.com/bc/image/fileStoreRecord?id=fs09tph49bX08lpVi0x7" width="200" height="33"></p></div></div></div></div></div></div></div></div>