Обратный прокси-сервер Apache к IIS TLS/ Клиентский сертификат проверки подлинности сертификата
После тщательного исследования я пришел просить о помощи.
Я хочу создать конфигурацию, похожую на ту, что есть у Apache/Tomcat, и я считаю, что AJP - это только Apache для IIS.
Я знаю, что из-за TLS это обычно сложно, так как то, что я хочу сделать, создает эксплойт MITM (Man-In-The-Middle). Ожидается, что IIS утвердит аутентификацию, отправленную с сервера apache, не выполняя собственное рукопожатие.
Интернет ==> Обратный прокси-сервер Apache === Сертификат клиента аутентификации бэкэнда IIS
Я подумал, что при настройке моего виртуального хоста (через обратный прокси-сервер Apache) с использованием SSLCACertificateFile он может работать, однако я все еще получаю 403.7 (IIS). Я надеялся использовать параметры mod_proxy, которые я использую с tomcat, для работы с IIS, но я не добился успеха. Мой использует следующее до сих пор,
SSLEngine On
SSLVerifyCLient require
SSLVerifyDepth 4
SSLCertificateFile ssl.crt/cert.pem
SSLCertificateKeyFile ssl.crt/key.key
SSLCACertficateFile ssl.crt/CAbundle.pem
SSLOptions +ExportCertData
SSLProxyEngine On
JkMount /
JKMount /
ProxyRequests Off
ProxyPreserveHost On
ProxyPass /location/ http://ip:7443
Моя цель состояла в том, чтобы сделать так, чтобы у меня был обратный прокси-сервер Apache, работающий с Tomcat и IIS на бэкэнде, которые принимают логин сертификата клиента.
Другой подход, который я рассматриваю, заключается в попытке выяснить, какая информация заголовка возникает между apache и IIS, и существует ли в любом случае настройка IIS для использования синтаксиса http x509 для получения информации и использования ее для аутентификации. Мне нужно посмотреть, что я могу захватить с помощью HTTP и Wireshark, чтобы увидеть, есть ли что-нибудь, с чем можно работать. Это моя неудача, над которой я сейчас работаю и ценю любую помощь.