| ||||
| ||||
| Добрый день! Не подскажите мне по такой ситуации: Есть Apache в режиме прокси.Есть прикладные системы во внутренней сети.Используется https от клиента к прокси и от прокси к прикладной системе. Есть ли возможность организовать канал от прокси к прикладной системе на сертификате клиента а не прокси? Т.е. мне нужна возможность организовать прямое соединение между клиентом и прикладной системой на клиентском сертификате, но при этом иметь возможность проверить сертификат на прокси. P.S. Я так понимаю что proxy certificate extension не совсем то. Спасибо! | ||||
| Ответы: | ||||
| ||||
| Так как приватный ключ клиентского сертификата не передается на прокси, то прокси, естествено, не может организовать дальнейшее соединение к защищаемому серверу с использованием шифрования по этому клиентскому сертификату. Если вы не доверяете данным, переданным через proxy certificate extensions, то я вижу 2 способа решить эту проблему: 1. На уровне приложения. Т.е. фактически написать собственный прокси, который использует полную базу клиентских сертификатов (вместе с ключами), хранящуюся на сервере. После успешной авторизации на прокси извлекается соответствующий клиентский сертификат и дальнейшее соединение приложение устанавливает самостоятельно. 2. После авторизации на прокси создавать временный туннель и клиент дальше работает не с прокси, а напрямую с защищаемым сервером. Однако все это имеет уже мало общего со cхемой reverse proxy. Я бы вам посоветовал рассмотреть вариант с полноценным VPN доступом в защищаемую сеть. | ||||
ksnov