<div dir="ltr">Hi,<div>I would like to proxy chaining squid to parent proxy on the cloud, Netskope proxy.</div><div>First of all, I configure http_port 3128 ssl-bump, without proxy chaining to parent proxy. And it works fine. However, my next step to add cache_peer to parent proxy with Netskope certificates loaded. It failed and shows sslv3 certificate unknown.</div><div>Below are my configuration and test results:</div><div><br></div><div><div>The first <span style="font-family:Calibri,sans-serif;font-size:12pt">Test without proxy chaining to Netskope (just ssl-bump on squid proxy): normally access internet</span></div><div><div>My config:</div><div><i><font color="#0000ff">http_port 3128 ssl-bump cert=/etc/squid/ssl_cert/myCA9.pem key=/etc/squid/ssl_cert/myCA9.pem generate-host-certification=on dynamic_cert_mem_cache_size=4MB</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">acl step1 at_step SslBump1</font></i></div><div><i><font color="#0000ff">ssl_bump peek step1</font></i></div><div><i><font color="#0000ff">ssl_bump bump all</font></i></div></div><p class="MsoNormal" style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US">Cache.log:</span></p><p class="MsoNormal" style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US"></span></p><div><img src="https://mail.google.com/mail/u/0?ui=2&ik=a4e50e1cfb&attid=0.4&permmsgid=msg-a:r7647512108327512728&th=170f5ff99c58736d&view=fimg&sz=s0-l75-ft&attbid=ANGjdJ-ShuGsMjmZN6Ie9v6bUw5eFSsSM-JjnCDlAJC6mSuErNdKPPNR882F9YVGd_0J3M4HneVKeaKZd5umCPsVHpVy18v8LehY6b3BymDXNBL5vA5Ry3tiDU8d9gk&disp=emb&realattid=ii_k7zlrndy3" alt="image.png" width="472" height="341" class="gmail-CToWUd gmail-a6T" tabindex="0" style="cursor: pointer; outline: 0px;"><br></div><div>  normally access <a href="https://translate.google.com/" target="_blank">https://translate.google.com</a>  </div></div><div><div><br class="gmail-Apple-interchange-newline">The second test is squid proxy chaining to Netskope (with ssl  enabled): Result is failed to access internet (HTTP/HTTPS)</div><div>My config: (where I put Netskope intermediate & root certs on /etc/squid/ssl_cert/)</div><div><i><font color="#0000ff">http_port 3128 ssl-bump cert=/etc/squid/ssl_cert/myCA9.pem key=/etc/squid/ssl_cert/myCA9.pem generate-host-certification=on dynamic_cert_mem_cache_size=4MB</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">cache_peer <a href="http://pxc-sasesg-tpe.eu.goskope.com/" target="_blank">pxc-sasesg-tpe.eu.goskope.com</a> parent 8080 0 no-query default ssl sslpath=/etc/squid/ssl_cert/ sslcafile=/etc/squid/ssl_cert/cacert-2020-01-01.pem login=PASSTHRU ssloptions=NO_SSLv2 sslflags=DONT_VERIFY_DOMAIN</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">never_direct allow all</font></i></div><div><i><font color="#0000ff"><br></font></i></div><div><i><font color="#0000ff">acl step1 at_step SslBump1</font></i></div><div><i><font color="#0000ff">ssl_bump peek step1</font></i></div><div><i><font color="#0000ff">ssl_bump bump all</font></i></div><div><p class="MsoNormal" style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US">Cache.log once squid restart, </span><span style="font-size:12pt">It shows “ sslv3 alert certificate unknown”</span></p><div><img src="https://mail.google.com/mail/u/0?ui=2&ik=a4e50e1cfb&attid=0.1&permmsgid=msg-a:r7647512108327512728&th=170f5ff99c58736d&view=fimg&sz=s0-l75-ft&attbid=ANGjdJ9FxhILwZC9jBZz9aTlPXG-ClM92aeOtdt5nPt9U8oUmnth4Rpw2s9V0eWZKMHRbogE7c3CNE4NDSUiy0_QYjuxMwCYYCbtCE3tDg797HrM0tnycS1TuexsOFc&disp=emb&realattid=ii_k7zlnxsa0" alt="image.png" width="472" height="339" class="gmail-CToWUd gmail-a6T" tabindex="0" style="cursor: pointer; outline: 0px;"><br></div></div><div><p class="MsoNormal" style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US">CANNOT access <a href="https://translate.google.com/" target="_blank">https://translate.google.com</a></span></p></div><div><br></div><div>Do you see anything wrong?</div><div>BR,</div><div>Michael</div></div></div>