我将haproxy设置为一个API终结器/负载均衡器,在我们需要通过互联网向客户公开的API前面。
该计划是使用相互(2路)SSL / HTTPS来validation双方是谁,因为没有进一步的身份validation本身。 最重要的是,我们还将利用一个IP白名单。
现在客户已经给了我们一个证书,双方都使用服务器和客户端证书,这个证书是由“通用”CA(DigiCert)签署的。 虽然我从客户的angular度理解这是好事,因为证书也与它所访问的服务器的主机名相比较,但是反过来似乎并不安全(至less不是用haproxy)
我目前的理解是,我必须告诉HAProxy使用'ca-file'指令来信任由Digicert签名的证书,但是,没有办法告诉它,除此之外它还需要成为一个特定的客户端证书,因为我不想信任由DigiCert签署的所有客户证书。
有没有办法做到这一点与HAProxy? 如果不是的话,我想唯一的办法就是为双方制作自签名的客户端证书并交换(或者说,证书签名请求,让另一方签名)。
或者,我对整个客户端证书概念的理解是错误的?