Apache/Rails:转发PKI

Question

我有一个托管数据服务的Linux/Apache/Rails堆栈。数据服务基本上是多个数据源的前端，类似于联合搜索。

对服务的查询通过PKI进行身份验证。在处理每个请求时，必须将PKI转发到适合给定请求的每个数据源-每个数据源都使用PKI来控制数据访问。

我知道如何从Rails访问请求者的DN，但我不知道如何访问PKI或在处理请求时由控制器发起的web请求中传递它。有什么建议吗？

Answer 1

你的描述让你很难理解这个组织，但我会试一试。

PKI的性质使得转发(代理)连接是不可能的，因为两个端点建立了一个只有这两方知道的秘密会话密钥。看起来你有三个参与方，一个客户，一个中间人和一个终结点。因此，客户端可以向中间层进行身份验证，并且中间层现在可以肯定地知道客户端是谁。我认为你的问题是如何让端点确切地知道谁是客户端。我选择的方法是让每个中间节点拥有自己的证书，并向端点本身进行身份验证(因此，现在端点可以肯定地知道谁是中间节点)，然后让中间节点将DN作为端点将信任的来自中间节点的某个额外字段进行传递。