31.10.2006 16:13:48Apache auth Ответов: 1
ksnov
Добрый день!
Не подскажите мне по такой ситуации:
Есть Apache в режиме прокси.Есть прикладные системы во внутренней сети.Используется https от клиента к прокси и от прокси к прикладной системе. Есть ли возможность организовать канал от прокси к прикладной системе на сертификате клиента а не прокси? Т.е. мне нужна возможность организовать прямое соединение между клиентом и прикладной системой на клиентском сертификате, но при этом иметь возможность проверить сертификат на прокси.
P.S. Я так понимаю что proxy certificate extension не совсем то.
Спасибо!
 
Ответы:
02.11.2006 10:55:00Егошин Василий
Так как приватный ключ клиентского сертификата не передается на прокси, то прокси, естествено, не может организовать дальнейшее соединение к защищаемому серверу с использованием шифрования по этому клиентскому сертификату. Если вы не доверяете данным, переданным через proxy certificate extensions, то я вижу 2 способа решить эту проблему:
1. На уровне приложения. Т.е. фактически написать собственный прокси, который использует полную базу клиентских сертификатов (вместе с ключами), хранящуюся на сервере. После успешной авторизации на прокси извлекается соответствующий клиентский сертификат и дальнейшее соединение приложение устанавливает самостоятельно.
2. После авторизации на прокси создавать временный туннель и клиент дальше работает не с прокси, а напрямую с защищаемым сервером.

Однако все это имеет уже мало общего со cхемой reverse proxy. Я бы вам посоветовал рассмотреть вариант с полноценным VPN доступом в защищаемую сеть.