
<html style="direction: ltr;">

  <head>


    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

    <style type="text/css">body p { margin-bottom: 0cm; margin-top: 0pt; } </style>

  </head>

  <body bidimailui-charset-is-forced="true" style="direction: ltr;"

    text="#000000" bgcolor="#FFFFFF">

    <p>Hi all,</p>

    <p><br>

    </p>

    <p>Thanks for the great work you do/provide with squid.</p>

    <p><br>

    </p>

    <p>I am using squid for years, I like it very much, and I am now

      installing a SSL load-balancing unit for about 80

      domains/sub-domains.</p>

    <p><br>

    </p>

    <p>My OS release is Fedora release 29 (Twenty Nine)</p>

    <p><br>

    </p>

    <p>My squid version and parameters are : </p>

    <p><br>

    </p>

    <p># squid -v</p>

    <p>Squid Cache: Version 4.4<br>

      Service Name: squid<br>

      <br>

      This binary uses OpenSSL 1.1.1-pre9 (beta) FIPS 21 Aug 2018. For

      legal restrictions on distribution see

      <a class="moz-txt-link-freetext" href="https://www.openssl.org/source/license.html">https://www.openssl.org/source/license.html</a><br>

      <br>

      configure options:  '--build=x86_64-redhat-linux-gnu'

      '--host=x86_64-redhat-linux-gnu' '--program-prefix='

      '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin'

      '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share'

      '--includedir=/usr/include' '--libdir=/usr/lib64'

      '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib'

      '--mandir=/usr/share/man' '--infodir=/usr/share/info'

      '--exec_prefix=/usr' '--libexecdir=/usr/lib64/squid'

      '--localstatedir=/var' '--datadir=/usr/share/squid'

      '--sysconfdir=/etc/squid' '--with-logdir=/var/log/squid'

      '--with-pidfile=/var/run/squid.pid'

      '--disable-dependency-tracking' '--enable-eui'

      '--enable-follow-x-forwarded-for' '--enable-auth'

'--enable-auth-basic=DB,fake,getpwnam,LDAP,NCSA,PAM,POP3,RADIUS,SASL,SMB,SMB_LM'

      '--enable-auth-ntlm=SMB_LM,fake' '--enable-auth-digest=file,LDAP'

      '--enable-auth-negotiate=kerberos'

'--enable-external-acl-helpers=LDAP_group,time_quota,session,unix_group,wbinfo_group,kerberos_ldap_group'

      '--enable-storeid-rewrite-helpers=file' '--enable-cache-digests'

      '--enable-cachemgr-hostname=localhost' '--enable-delay-pools'

      '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups'

      '--enable-linux-netfilter' '--enable-removal-policies=heap,lru'

      '--enable-snmp' '--enable-ssl' '--enable-ssl-crtd'

      '--enable-storeio=aufs,diskd,ufs,rock' '--enable-diskio'

      '--enable-wccpv2' '--enable-esi' '--enable-ecap' '--with-aio'

      '--with-default-user=squid' '--with-dl' '--with-openssl'

      '--with-pthreads' '--disable-arch-native' '--with-pic'

      '--disable-security-cert-validators'

      'build_alias=x86_64-redhat-linux-gnu'

      'host_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall

      -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2

      -Wp,-D_GLIBCXX_ASSERTIONS -fexceptions -fstack-protector-strong

      -grecord-gcc-switches

      -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1

      -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1 -m64 -mtune=generic

      -fasynchronous-unwind-tables -fstack-clash-protection

      -fcf-protection -fPIC' 'LDFLAGS=-Wl,-z,relro   -Wl,-z,now

      -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -pie -Wl,-z,relro

      -Wl,-z,now -Wl,--warn-shared-textrel' 'CXXFLAGS=-O2 -g -pipe -Wall

      -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2

      -Wp,-D_GLIBCXX_ASSERTIONS -fexceptions -fstack-protector-strong

      -grecord-gcc-switches

      -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1

      -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1 -m64 -mtune=generic

      -fasynchronous-unwind-tables -fstack-clash-protection

      -fcf-protection -fPIC'

      'PKG_CONFIG_PATH=:/usr/lib64/pkgconfig:/usr/share/pkgconfig'</p>

    <p><br>

    </p>

    <p>The problem I have is that all these domains are actually on one

      IP only, on a single server, running nginx with multiple SSL

      certificates on one single IP, and I would like to do the same

      with squid.</p>

    <p><br>

    </p>

    <p>I did few years ago with HaProxy, but I would prefer to keep

      squid.</p>

    <p><br>

    </p>

    <p>3 choices:</p>

    <p><br>

    </p>

    <p>- Having more than one IP on the server, create SSL certificates

      from LetsEncrypt including each a list of some domains and

      sub-domains</p>

    <p>- Create a very bing certificate to have squid using it (not the

      best choice because domains are of different content, far one to

      the other)<br>

    </p>

    <p>- Having squid managing all certificates on a single IP. (The

      best because some domains have very high encryption needs, and

      LetsEncrypt is not their preference)<br>

    </p>

    <p><br>

    </p>

    <p>Like a bottle in the sea: Is that possible, multiple

      certificates, with squid 4.4 on a single IP?</p>

    <p><br>

    </p>

    <p>Thanks for your help.</p>

    <p><br>

    </p>

    <p>Patrick</p>

    <p><br>

    </p>

  </body>

</html>