In primo luogo, spero che questa sia una domanda legittima perché è generata da ciò che sto vivendo e da ciò che sta accadendo. L'ambiente è il seguente ... Ho un proxy inverso di apache, che mi sono messo in piedi nel nostro laboratorio, usando mod_ssl. Il proxy inverso viene utilizzato per autenticare qualcuno prima di accedere a un'applicazione sulla mia istanza di laboratorio del server Tomcat. Dopo l'autenticazione, mod_ssl inoltra il DN dalla PKI a un servlet su Tomcat utilizzando AJP.
Il server Apache utilizza un certificato server creato per me dal team PKI delle mie società. E sto usando un certificato utente fornito anche dalla mia azienda. La nostra azienda ci rilascia anche token e smartcard per MFA. Ho installato anche i certificati CA sul proxy inverso forniti dalla mia azienda. Il mio server è in esecuzione in un laboratorio ma può comunicare con il nostro LDAP aziendale. Nel nostro ambiente cliente in cui verrà implementata questa soluzione, non utilizzano smartcard, token o MFA. Ma per i test interni devo seguire l'architettura aziendale. Ora alla mia domanda. Cosa succede durante il client per invertire l'handshake proxy che sta forzando l'uso della mia smartcard? Generalmente la smartcard è solo per la firma digitale e l'autenticazione. Quindi cosa sta causando lo scambio tra un browser e il mio proxy inverso per richiedere e richiedere la mia smartcard? C'è qualcosa di speciale nei certs che obbliga questo requisito?