Apache / Rails: пересылка PKI

Question

У меня есть стек Linux / Apache / Rails, на котором размещается служба данных.Служба данных является в основном внешним интерфейсом для нескольких источников данных, похожим на федеративный поиск.

Запросы к службе аутентифицируются через PKI.При обработке каждого запроса PKI должен быть перенаправлен в каждый источник данных, соответствующий данному запросу - каждый источник данных использует PKI для управления доступом к данным.

Я знаю, как получить доступ к DN запрашивающего из Rails, но яне имею ни малейшего представления о том, как получить доступ к PKI или передать его в веб-запросах, запускаемых контроллером при обработке запроса.Есть предложения?

Answer 1

Ваше описание затрудняет отслеживание организации, но я постараюсь дать этому шанс.

Природа PKI делает невозможным пересылку (проксирование) соединения, поскольку две конечные точки устанавливают секретный сеансовый ключ, известный только этим сторонам.Похоже, у вас есть 3 стороны, клиент, посредник и конечная точка.Таким образом, клиент может пройти проверку подлинности для промежуточного звена, и промежуточное звено теперь точно знает, кто является клиентом.Я думаю, что ваш вопрос заключается в том, как получить конечную точку, чтобы точно знать, кто является клиентом.Метод, который я выбрал бы, заключается в том, чтобы каждое промежуточное звено имело свой собственный сертификат и проходило аутентификацию в самой конечной точке (так что теперь конечная точка знает, кто является промежуточным звеном с уверенностью), а затем просто передавало промежуточное DN в качестве некоторого дополнительного поля, которое конечная точка будетдоверие от промежуточного.