Короче говоря, я хотел бы настроить haproxy для сохранения значения заголовка IFF, в который поступил запрос с использованием определенного доверенного сертификата, и в противном случае перезаписать значение заголовка с помощью DN сертификата запрашивающей стороны. Есть ли способ сделать это?
Чтобы выяснить причину этого, мы используем пользовательские сертификаты для проверки доступа пользователей к нашим услугам. Поскольку haproxy использовался в качестве балансировщика нагрузки в режиме http, для этого требуется определенный логический поток:
- убедитесь, что доверенным сертификатом является haproxy, а затем установите заголовок прокси-сервера для хранения DN сертификата пользователя
- Передайте запрос в наш сервис с помощью сертификата haproxy.
- Наш сервис проверяет сертификат haproxy, а затем, если ему доверяют, он использует заголовок прокси-сервера для определения того, кем был исходный запрашивающий пользователь, и проверяет их.
Мы сталкиваемся с проблемой, когда некоторые из наших служб должны отправлять запросы другим службам на имя пользователя. В этом случае служба A собирается установить заголовок прокси-сервера равным DN исходного запрашивающего, а затем сделать запрос службе B;но сначала он ударит по гапрокси. Когда это происходит, haproxy перезаписывает заголовок прокси-сервера с помощью dn сертификата, который используется службой A.
Я хотел бы настроить haproxy для сохранения заголовка прокси-сервера с сервера A IFF * 1016. * запрос приходит с использованием нашего сервисного сертификата. Для любого запроса, поступающего с другим сертификатом, я хотел бы перезаписать заголовок прокси-сервера с DN запрашивающего сертификата, поскольку я не хочу, чтобы пользователь мог использовать массовый отряд, как кто-либо другой, установив заголовок прокси-сервера в своем запросе.