Risposta alla sfida su diversi hop

1

Questa è una domanda successiva a " Quando dovrei usare la crittografia del livello dei messaggi rispetto alla crittografia del livello di trasporto ".

Devo inviare un certificato dal telefono cellulare al server. A prescindere da tutti i dettagli, la mia vera domanda è come posso fare un passo di sfida-risposta tra il client e il server, quando la comunicazione segua questi passaggi: Client- > ReverseProxy- > LoadBalancer- > ...- > intendedServer

E questo è in realtà dietro il mio domanda !

    
posta smiley 11.07.2011 - 08:58
fonte

1 risposta

4

Se possiedi / confida il proxy inverso , Load Balancer e Server (i) previsti , quindi:

  • Il tuo telefono cellulare ha il certificato del cliente (attraverso alcuni mezzi sicuri) che utilizza per autenticare il proxy inverso.

  • Il Reverse Proxy gestisce la decrittografia SSL / TLS, quindi inoltra il traffico a Load Balancer e al server previsto (non crittografato).

  • Load Balancer e Server previsto sono nascosti da Internet dietro router / firewall.

Il proxy inverso è configurato per consentire solo le connessioni dai certificati client consentiti.

  • In alternativa, tutto il traffico SSL può essere passato attraverso il Reverse Proxy e decrittografato sui Load Balancer o Server previsti , ma ciò consente solo Bilanciamento del carico basato su IP.

A meno che non abbia frainteso parte del tuo protocollo, presumo qui che il certificato di cui stai parlando sia per l'autenticazione sul sito Web SSL / TLS e non su qualche altro certificato.

Modificato per aggiungere:

Hai aggiunto un commento sopra per spiegare che si tratta della creazione iniziale del certificato (firma del CSR) che deve essere crittografato.

In questo scenario è necessario determinare quale autenticazione iniziale è necessaria.

  • Stai legando il certificato a un mondo reale oa un'identità precedente? Quindi applica un'autenticazione come username / password attraverso il tunnel SSL per crearlo inizialmente.

  • Ma se stai creando un certificato casuale per appendere una nuova identità, allora SSL / TLS dall'app mobile al server dovrebbe essere OK, verificare prima che il certificato del server sia probabilmente una buona misura di sicurezza aggiuntiva.

risposta data 11.07.2011 - 10:26
fonte

Leggi altre domande sui tag