Какие шаги необходимо предпринять чтобы установить взаимное TLS (mutual TLS) между двумя доменами?
В сети видел примеры установки взаимного (mutual) TLS с использованием самоподисанных сертификатов, а как быть в случае офицальных сертификатов от провайдеров - не до конца понятно.
У нас имеется домен, скажем api.frontserver.com привязанный к публичному API Gateway и домен api.targetserver.com привязанный к балансировщику нагрузки. Оба публичные. Оба используют сертификаты выданные на *.frontserver.com и *.targetserver.com - т.е. это подстановочные сертификаты (wildcard то бишь), выданные провайдером типа Comodo - для каждого домена у нас получено 2 файла: SSL сертификат файл *.crt и приатный ключ *.key
API запрос у нас должен приходить на api.frontserver.com где будет маршрутизироваться к аpi.targetserver.com и далее к бакэнду. Насколько я понимаю аутентификация ssl от api.frontserver.com на аpi.targetserver.com будет происходить автоматически. А какие "танцы с бубном"... шаги необходимо предпринять с этими сертификатами, чтобы обеспечить взаимную tls аутентификацию? При этом надо не испортить другие сервисы, которые используют данный wildcard сертификат и которые уже сидят на этом балансировщике - т.е. например subdomain.targetserver.com.
Нужно для каждого адреса/virtualhost - для api.frontserver.com и api.targetserver.com - настроить стандартно SSL и прикрутить каждому свой сертификат и private key.
Как настроить - зависит от того, что у вас висит на этих хостах - гугл в помощь.
Вадим, не очень понятен ваш вопрос. При MTLS происходит следующее - клиент подключается к серверу, проверяет сертификат сервера, потом клиент предоставляет серверу свой сертификат и сервер проверяет его. Если все в порядке - сервер разрешает доступ и по TLS соединению идет обмен данными.
Средний
