質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.01%

プロキシサーバーのSquidでSSL通信すると"URI Host Conflict"となり通過できない

解決済

回答 2

投稿

  • 評価
  • クリップ 1
  • VIEW 11K+

root_jp

score 3953

問題

勉強がてらプロキシサーバーのSquidを入れて、プログラムからそのプロキシ経由でリクエストを飛ばすと
以下のようなHTMLが返却される。

ERROR

The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: https://{接続先ホスト}/*

URI Host Conflict
This means the domain name you are trying to access apparently no longer exists on the machine you are requesting it from.

Some possible problems are:

The domain may have moved very recently. Trying again will resolve that.
The website may require you to use a local country-based version. Using your ISP provided DNS server(s) should resolve that.

環境情報

ローカルの仮想環境にプロキシを入れている。
【ホストOS】
Windows 10
192.168.137.1

【ゲストOS】
CentOS Linux release 7.4.1708
192.168.137.39

【プロキシサーバー】
Squid 3.5.20

補足情報

  • Squidはyumでインストールした
  • HTTPポート(3128)とHTTPSポート(3129)を受け付けるようにファイアウォールで設定した
  • 通信プログラムの実行はホストOSで行っている
  • HTTPでは成功している
  • SSLの証明書は自己署名

squid.conf

まだ良く分かっていないので、元々あったものを結構残しています。

acl localnet src 192.168.137.0/24

acl SSL_ports port 443 3129
acl Safe_ports port 80        # http
acl Safe_ports port 443        # https
acl Safe_ports port 1025-65535  # unregistered ports
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager localnet
http_access deny manager

http_access allow localnet
http_access allow localhost

http_access deny all

visible_hostname my-host-name

http_port 3128
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cacert.pem key=/etc/squid/ca.key

ssl_bump bump all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

coredump_dir /var/spool/squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

dns_nameservers 192.168.137.1

logformat squid [%{%Y/%m/%d.%H:%M:%S}tl] %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt

access.log

// HTTPで通信した場合は以下の1行が出力されて成功する。
192.168.137.1 TCP_TUNNEL/200 7137 CONNECT {接続先ホスト}:443 - HIER_DIRECT/23.100.101.120 -

// HTTPSで通信した場合は以下の2行が出力されて失敗する。
192.168.137.1 TAG_NONE/200 0 CONNECT 192.168.137.39:3129 - HIER_NONE/- -
192.168.137.1 TAG_NONE/409 4156 CONNECT {接続先ホスト}:443 - HIER_NONE/- text/html

サーバーとネットワークが苦手なので、勉強のためにググりながらやってましたが、
どうにも詰まってしまいました。。。
心当たりがある方いましたら、どうぞご助力ください。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

check解決した方法

0

squid.conf を以下のように修正したら通りました。

https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cacert.pem key=/etc/squid/ca.key
↓
https_port 3129 cert=/etc/squid/cacert.pem key=/etc/squid/ca.key


色々削除しましたが、直接的な部分はinterceptのようです。
他のサイトを参考にしていたので、何となくつけてましたが調べてみます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

Conflictと出ているので、HTTPS接続時何かと競合しているようです。
HTTPの時は、接続できているとのことなので、競合しているとなると、HTTPS接続時のポートだと思うので、

acl SSL_ports port 443 3129ではないでしょうか?
acl SSL_ports port 3129としてみては、いかがでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/01/18 17:59

    回答ありがとうございます。
    試してみましたが特に変化ありませんでした。
    acl SSL_ports は複数指定できますので、ここは特に問題なさそうな気がしてます。

    ステータスが409で返ってきてますので、Conflictしてるのはサーバーの状態なのだと思いますが、
    何のことだかって感じです。。
    http://squid.robata.org/Reference/squid3.4.0.3/host_verify_strict.html
    このサイトに409がどうのこうのと説明があるので、試したりしてみましたがダメでしたね。。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.01%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る