Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Mutual authentication средствами nginx
- To: "nginx-ru@xxxxxxxxx" <nginx-ru@xxxxxxxxx>
- Subject: Re: Mutual authentication средствами nginx
- From: Илья Шипицин <chipitsine@xxxxxxxxx>
- Date: Wed, 22 Jan 2014 20:18:02 +0600
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; bh=CimJKWysx4zzkwZSlN/DdTrk61DwbaUFCpgMtC1KBvY=; b=tadaHnUepjwYbJ8WWBE3jMOffbwGLcwraV0AhEo2BsSvgJk4L9oBzjCKqSCYWt+kL/ HMu/nUq7sk2Tibu3bzPG1QZrBzCFBZgdCDiu+XUdvyYyXetaX9HCsBMlt9bENLnJoPZw aUTIBhaTP0vEkunkg3Z3UPq9QE4H7NavkmhKhBNOsKYdQXNf43mOYkdytpJ8Ny7uJf5+ 52asmKbnhTiYm0mCTI3F/KS0QbloDjqX6ec+q5ZU2RkceOUfZ5ElEdD4n7bokwos6o25 sHkwCmGhwC/H24S/FhCbO2Z87iGceZCW8NWSYwkmmDU0q+JtNGiHz2NIChB87b4FZV1k j70Q==
- In-reply-to: <52DD93F6.9030204@csdoc.com>
- References: <52DD93F6.9030204@csdoc.com>
очевидно, если пользователь предъявляет вам сертификат, то у него есть
закрытый ключ.
чтобы nginx смог дальше предъявить этот же сертификат, получается надо
дубликаты всех пользовательских закрытых ключей держать на nginx ?
или вы какой-то другой сценарий имели в виду ?
21 января 2014 г., 3:24 пользователь Gena Makhomed <gmm@xxxxxxxxx> написал:
> Здравствуйте, All!
>
> Как сделать Mutual authentication
> между двумя сервисами с помощью nginx?
>
> На двух разных серверах nginx слушает на порту 443
> и проксирует клиентские запросы на порт 80 backend`а.
>
> "На вход" проверка клиентского сертификата работает отлично.
> А когда backend делает клиентский запрос на 127.0.0.1:8080 -
> nginx проксирует этот запрос на 443 порт удаленного сервера
> по https. Но как сделать так, чтобы при proxy_pass nginx
> еще и предьявлял клиентский сертификат удаленному сервису?
>
> Или какой софт можно использовать здесь вместо nginx,
> если nginx это делать не умеет и такая функциональность
> в нем никогда не будет реализована по каким-то причинам?
> Хотя, это наверное была бы killer feature, полезная многим.
>
> Если только принимать https-запросы на уровне nginx,
> а отправлять https-запросы через само приложение
> - тогда будет layering violation и клиентскому
> приложению придется давать доступ к файлу ключа.
>
> Может быть кто-то уже решал такую или похожую задачу?
>
> --
> Best regards,
> Gena
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|