Il certificato client è emesso da CA uno, il certificato del server è emesso dalla CA due, CA CA e CA due sono CA radice. Client e server possono autenticarsi a vicenda in tls?
Non c'è nulla nel protocollo TLS che lo vieti.
Per il bilanciamento del carico di cui ho esperienza, Citrix NetScaler, si configura manualmente quale CA deve accettare per i certificati client.
Quindi potresti avere un certificato per il server che è stato acquistato da una normale CA pubblica e potresti configurare il certificato client accettato da una specifica CA interna che esegui tu stesso.
In questo modo puoi rilasciare i certificati del cliente da solo e infonderli con i campi di dati che ti interessano. Come ad es. il nome utente o l'indirizzo e-mail di Windows del client o qualcosa di simile a una bandiera "è membro del dipartimento contabilità".
Il server non ha modo di comunicare "è un bel certificato che mi hai appena mostrato, sfortunatamente non è dalla CA che stavo cercando". Invece il server deve solo abortire l'handshake - lasciando che il cliente indovina perché questo non ha funzionato. (Penso che sia come funziona almeno.)
(C'è un'estensione TLS per l'altra direzione: consente al client di dire al server "Okay, conosco solo queste tre CA: x, y e z. È meglio che un certificato del server sia firmato da uno di essi. "Si chiama" Indicazione CA affidabile "Vedi: link - Ma penso che funzioni solo per i clienti comunicare ai server le CA di fiducia e non viceversa. Non sicuro.
Leggi altre domande sui tag tls