Scusami se l'ho postato qui a torto, so che la domanda riguarda in parte la stessa haproxy.
Sto configurando haproxy come terminatore SSL / bilanciamento del carico di fronte a un'API che dobbiamo esporre su Internet a un cliente.
Il piano prevedeva l'utilizzo di SSL (HTTPS) bidirezionale (bidirezionale) per verificare che entrambe le parti fossero chi sono, dal momento che non vi è ulteriore autenticazione sull'API stessa. Inoltre, utilizzeremo anche una whitelist IP.
Ora il cliente ci ha fornito un certificato che entrambe le parti utilizzano per entrambi i certificati server e client, questo certificato è firmato da una CA "comune" (DigiCert). Mentre capisco questo è buono dal punto di vista del cliente, in quanto il certificato viene anche confrontato con il nome host del server a cui accede, tuttavia il contrario non sembra essere sicuro (almeno non con haproxy)
Per come la conosco attualmente, devo dire a HAProxy di fidarsi dei certificati firmati da Digicert usando la direttiva "ca-file", tuttavia, non c'è modo di dire che oltre a ciò deve anche essere un certificato client specifico, perché non voglio fidarmi di tutti i certificati client firmati da DigiCert.
C'è un modo per farlo con HAProxy? In caso contrario, suppongo che l'unica soluzione sarebbe quella di creare certificati client autofirmati per entrambe le parti e di scambiarli (o meglio, le richieste di firma del certificato e far firmare all'altra parte).
O la mia interpretazione dell'intero concetto di certificato del cliente è sbagliata?