<div dir="ltr"><div>Hello community,</div><div><br></div><div>I have a problem which I'm coping with for some time now.</div><div>I would like to use client certificate authentication with http_port command.</div><div><br></div><div>As far as I understand the parameter "clientca" should be enough to request the browser to send/offer client certificate. <br></div><div><br></div><div>In my case this line is fairly simple and looks like this: <br></div><div><br></div><div>> http_port 443 clientca=/path/to/the/CA.pem</div><div><br></div><div>However the "clientca" parameter seems to be ignored. Even when I put some non existing path as "clientca" value, Squid starts normally without error.</div><div><br></div><div>Squid version which I'm using is 5.0.5 and output of squid -v can be found below:</div><div><br></div><div>Squid Cache: Version 5.0.5<br>Service Name: squid<br><br>This binary uses OpenSSL 1.0.2k-fips  26 Jan 2017. For legal restrictions on distribution see <a href="https://www.openssl.org/source/license.html" target="_blank">https://www.openssl.org/source/license.html</a><br><br>configure options:  '--prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc/squid' '--datadir=/usr/share' '--includedir=/usr/include' '--libexecdir=/usr/lib/squid' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--localstatedir=/var' '--disable-dependency-tracking' '--disable-arch-native' '--enable-ltdl-install' '--enable-storeio=aufs,diskd,ufs,rock' '--enable-removal-policies=heap,lru' '--enable-icmp' '--enable-delay-pools' '--enable-esi' '--enable-icap-client' '--enable-cachemgr-hostname=localhost' '--enable-follow-x-forwarded-for' '--enable-forw-via-db' '--enable-cache-digests' '--enable-linux-netfilter' '--enable-auth' '--enable-auth-basic=DB,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,getpwnam,fake' '--enable-auth-digest=file,LDAP,eDirectory' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake' '--with-logdir=/var/log/squid' '--enable-log-daemon-helpers=DB,file' '--enable-external-acl-helpers=wbinfo_group,kerberos_ldap_group,LDAP_group,delayer,file_userip,SQL_session,unix_group,session,time_quota' '--enable-url-rewrite-helpers=fake,LFS' '--enable-security-cert-validators' '--enable-security-cert-generators' <u>'--with-openssl'</u> '--enable-ssl-crtd' '--enable-snmp' '--enable-stacktraces' '--enable-gnuregex' '--with-pidfile=/var/run/squid.pid' '--with-default-user=squid' '--with-aio' '--with-dl' '--with-pthreads' '--with-filedescriptors=16384' '--enable-wccpv2' '--enable-epoll'</div><div><br></div><div>I tried to put user_cert acl in hope that this would trigger certificate request, but it didn't happen.</div><div><br></div><div>> acl cert_authentication user_cert CN MY_CN<br>> http_access allow cert_authentication</div><div><br></div><div>If somebody could point me in the right direction I would be very thankful.</div><div><br></div><div>Regards,</div><div>Neven</div><div><br></div><div>P.S <br></div><div>SELinux is disabled and CA certificate is in PEM format<br></div></div>