День добрый!
Давно стоит Сквид в режиме форвардера и все работает но тут появилась задача коннектиться к нему по HTTPS из локалки. При этом использовать самоподписанный сертификат с установкой на машины клиентов. Взял официальное вики https://wiki.squid-cache.org/ConfigExamples и начал настраивать.
Прекрасно работает следующее правило:
https_port 8.8.8.8:64000 tls-cert=/etc/letsencrypt/.../fullchain.pem tls-key=/etc/letsencrypt/.../privkey.pem
А вот это не работает c ошибкой PROXY_CERTIFICATE_INVALID:
https_port 10.10.10.10:64002 tls-cert=/etc/squid/squidCA.pem
В первом случае как вы понимаете letsencrypt а во втором самоподписанный сертификат для работы по IP. Сертификат делал через openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem потом перекинул в .der и установил как корневой на клиенте. В сертификате на всякий случай ЗАПОЛНЕНЫ ВСЕ ПОЛЯ, в т.ч. DN.
Все то же самое но как прозрачный прокси через intercept ssl-bump прекрасно работает, так же все работает если поднимать http_port вместо https_port с теми же настройками но я хочу шифровать как уже говорил и до прокси тоже.
Полный конфиг: https://pastebin.com/Bfwb1a2K Squid 4.6 собранный с SSL на Debian 11.
Что я делаю не так?