Se possiedi / confida il proxy inverso , Load Balancer e Server (i) previsti , quindi:
-
Il tuo telefono cellulare ha il certificato del cliente (attraverso alcuni mezzi sicuri) che utilizza per autenticare il proxy inverso.
-
Il Reverse Proxy gestisce la decrittografia SSL / TLS, quindi inoltra il traffico a Load Balancer e al server previsto (non crittografato).
-
Load Balancer e Server previsto sono nascosti da Internet dietro router / firewall.
Il proxy inverso è configurato per consentire solo le connessioni dai certificati client consentiti.
- In alternativa, tutto il traffico SSL può essere passato attraverso il Reverse Proxy e decrittografato sui Load Balancer o Server previsti , ma ciò consente solo Bilanciamento del carico basato su IP.
A meno che non abbia frainteso parte del tuo protocollo, presumo qui che il certificato di cui stai parlando sia per l'autenticazione sul sito Web SSL / TLS e non su qualche altro certificato.
Modificato per aggiungere:
Hai aggiunto un commento sopra per spiegare che si tratta della creazione iniziale del certificato (firma del CSR) che deve essere crittografato.
In questo scenario è necessario determinare quale autenticazione iniziale è necessaria.
-
Stai legando il certificato a un mondo reale oa un'identità precedente? Quindi applica un'autenticazione come username / password attraverso il tunnel SSL per crearlo inizialmente.
-
Ma se stai creando un certificato casuale per appendere una nuova identità, allora SSL / TLS dall'app mobile al server dovrebbe essere OK, verificare prima che il certificato del server sia probabilmente una buona misura di sicurezza aggiuntiva.