Ваше описание затрудняет отслеживание организации, но я постараюсь дать этому шанс.
Природа PKI делает невозможным пересылку (проксирование) соединения, поскольку две конечные точки устанавливают секретный сеансовый ключ, известный только этим сторонам.Похоже, у вас есть 3 стороны, клиент, посредник и конечная точка.Таким образом, клиент может пройти проверку подлинности для промежуточного звена, и промежуточное звено теперь точно знает, кто является клиентом.Я думаю, что ваш вопрос заключается в том, как получить конечную точку, чтобы точно знать, кто является клиентом.Метод, который я выбрал бы, заключается в том, чтобы каждое промежуточное звено имело свой собственный сертификат и проходило аутентификацию в самой конечной точке (так что теперь конечная точка знает, кто является промежуточным звеном с уверенностью), а затем просто передавало промежуточное DN в качестве некоторого дополнительного поля, которое конечная точка будетдоверие от промежуточного.