<div dir="ltr">I am in the process of upgrading our Squid proxy server from 3.1 (on RHEL6) to 3.3 (on RHEL7). It is configured as a explicit (not transparent) proxy that listens on port 3128. Clients are explicitly configured to use the proxy.<br><br>On the 3.3 system with the same squid.conf as the 3.1 system (I have made changes to fix warnings), the system is able to proxy internal (*.<a href="http://ncsu.edu">ncsu.edu</a>) http traffic and https traffic. Anything https outside the <a href="http://ncsu.edu">ncsu.edu</a> domain fails. <br><br>The system (which does not use caching) was configured to log https transactions as such :<br><br>1565183014.309    230 127.0.0.1 TCP_MISS/200 62539 CONNECT <a href="http://entrepreneurship.ncsu.edu:443">entrepreneurship.ncsu.edu:443</a> - DIRECT/<a href="http://152.1.227.116">152.1.227.116</a> -<br><br>which requires SSL Bumping (I believe), though there is no reference in the current configs to the use of SSL bumping .<br><br>I used curl to test the new proxy. When I attempt to proxy an external https connection, this is the result :<br><br>$ curl --proxy <a href="http://127.0.0.1:3128">http://127.0.0.1:3128</a> <a href="https://www.google.com">https://www.google.com</a><br>curl: (56) Received HTTP code 503 from proxy after CONNECT<br><br>Proxying internal (<a href="http://ncsu.edu">ncsu.edu</a>) connections this way is working correctly for http and https<br><br>When I change my squid.conf from :<br><br>http_port 3128<div><br>to </div><div><br>http_port 3128 ssl-bump \<br>   cert=/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem \<br>   generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br><br>I now get the following error <br><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">squid[5796]: FATAL: No valid signing SSL certificate configured for HTTP_port [::]:3128</blockquote><br>The certs on the new server are newer, but otherwise appear to be correct. <div><div><br></div><div>Are there changes in the SSL bump config between 3.1 and 3.3 that would cause this kind of failure? Where should I be looking for the problem?<br><br>No previous experience with squid until this project. I've been doing much RTM (including the O'Reilly Squid book) searching online and debugging these past few days. Suggestions appreciated.<br><br>Thanks,<br>Tom<br><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><font size="1" face="arial, helvetica, sans-serif">Thomas Karches<br>NCSU OIT CSI - Systems Specialist</font></div><div><font size="1" face="arial, helvetica, sans-serif">M.E Student - STEM Education</font></div><div><font size="1" face="arial, helvetica, sans-serif">Hillsborough 319 / 919.515.5508</font></div><div dir="ltr"><br><br></div></div></div></div></div></div></div></div></div></div></div></div></div>