Можно ли иметь клиентские сертификаты с HTTP (не HTTPS)?

Question

У меня есть приложение, настроенное так:

Существует сервер с обратным прокси-сервером / балансировщиком нагрузки, который действует как завершение HTTPS (это тот, который имеет сертификат сервера), и несколько приложений за ним (*)

Однако некоторые приложения требуют аутентификации клиента с помощью сертификата. Аутентификация не может происходить в обратном прокси. Сможет ли приложение увидеть сертификат пользователя или он будет отброшен при передаче HTTPS-> HTTP?

(*) ОК, так что это вход Kubernetes и контейнеры / контейнеры.

Answer 1

Это будет потеряно. Я думаю, что вам нужно извлечь его в обратном прокси (то есть Nginx) и передать его как HTTP-заголовок, если вам действительно нужно. См. Например https://serverfault.com/questions/788895/nginx-reverse-proxy-pass-through-client-certificate. Не очень надежно, поскольку сертификат передается в открытом виде!

Я не знаю, имеем ли мы такой уровень контроля над входом, лично я вместо этого использую обычный сервер Nginx для входящего трафика.