到mTLs服务的apache反向代理

Question

我正在尝试设置一个apache虚拟主机，它将请求代理到第三方服务。

当apache向第三方服务发出请求时，它需要包括证书详细信息，以便成功建立到第三方的mTLS连接。

这是我的vhost文件

<VirtualHost *:80>
    ServerName localhost

    ProxyPass "/svc" "https://www.thirdpartymtlssite.com/"
    ProxyPassReverse "/svc" "https://www.thirdpartymtlssite.com/"
</VirtualHost>

我已启用

LoadModule proxy_module lib/httpd/modules/mod_proxy.so,
LoadModule proxy_http_module lib/httpd/modules/mod_proxy_http.so 

我有证书和密钥文件，可以通过以下方式添加

SSLCertificateFile "<cert for mTls server>"
 SSLCertificateKeyFile "<Key for mTls server>"

但我不确定这是不是正确的，因为这似乎是您如何提供证书链，如果您正在运行ssl进入服务器。

这是可能的，或者我应该寻找另一种技术来实现这一点。

Answer 1

您需要信任签署了第三方站点在TLS协商中发送给您的证书链中第一个证书的根CA。这是在SSLProxyCACertificateFile指令中指定的，该指令指向包含根CA证书的文件。