обратный прокси-сервер apache для службы mTLs

Question

Я пытаюсь настроить виртуальный хост apache, который передает запросы сторонней службе.

Когда apache отправляет запрос сторонней службе, он должен включить сведения о сертификате, чтобы соединение mTLS с третьей стороной былоуспешно.

вот мой файл vhost

<VirtualHost *:80>
    ServerName localhost

    ProxyPass "/svc" "https://www.thirdpartymtlssite.com/"
    ProxyPassReverse "/svc" "https://www.thirdpartymtlssite.com/"
</VirtualHost>

я включил

LoadModule proxy_module lib/httpd/modules/mod_proxy.so,
LoadModule proxy_http_module lib/httpd/modules/mod_proxy_http.so 

У меня есть файлы сертификатов и ключей, которые я могу добавить следующим образом

SSLCertificateFile "<cert for mTls server>"
 SSLCertificateKeyFile "<Key for mTls server>"

но я не уверен, что это правильно, так как кажется, что вы бы предоставили цепочку сертификатов, если вы запускаете ssl, входящий на сервер.

Возможно ли это вообще или я должен бытьглядя на другую технологию, чтобы сделать это.

Answer 1

Необходимо доверять корневому ЦС, подписавшему первый сертификат в цепочке сертификатов, который сторонний сайт отправляет вам в согласовании TLS.Это указано в директиве SSLProxyCACertificateFile, которая указывает на файл, содержащий сертификат корневого CA.