TLSプロキシを使用する場合、クライアント認証はどのように機能しますか?
サーバーにTLSインターセプトを実装するロードバランサーを使用しており、サーバーはTLSクライアント認証を使用しています。 TLSインターセプトは、クライアントがサーバー自体ではなくロードバランサーに直接接続することを意味するため、認証プロセスに影響しますか?
TLS接続はTLSプロキシによって終了されるため、クライアント証明書によるクライアントの認証もそこで終了します。 TLSプロキシにはクライアントの秘密キーがないため、最終サーバーにTLSで接続するときにクライアントの元の証明書を使用できません。
したがって、クライアントの元の証明書またはそれに関する情報を渡す唯一の方法はTLSの外部にあります。たとえば、HTTPリクエストヘッダーに ここでHAproxyについて説明 としていくつかのフィールドを挿入します。次に、サーバーまたはWebアプリケーションは、TLSレベルでのクライアント証明書の検証に依存する代わりに、アプリケーションレベルでこれらのフィールドをチェックする必要があります。