Reenviando una conexión SSL

Question

Reenviando una conexión SSL

#1 de gowenfawr (3 votos)
#2 de ztk (-1 votos)

2

Mi pregunta general: ¿Se puede reenviar una conexión SSL bidireccional a un tercer servidor?

Los detalles: Tengo un servidor WebLogic que admite SSL bidireccional, el certificado del lado del cliente es de su tarjeta CAC. El servidor weblogic actúa como una puerta de acceso a una base de datos Oracle. Oracle puede autenticar al usuario a través del nombre de usuario / contraseña o, preferiblemente, mediante SSL. ¿Existe alguna manera de que el servidor weblogic con una conexión SSL establecida pueda reutilizar el certificado del cliente para conectarse a la base de datos? Asuma el control de todas las máquinas (servidor de base de datos, servidor de Weblogic y PC cliente a través de un applet de Java).

tls man-in-the-middle

pregunta user1361991 31.07.2015 - 15:53

fuente

2 respuestas

-1

Los certificados SSL no pueden ser utilizados por un tercero. Las conexiones se basan en que cada parte utiliza un certificado con su propio nombre.

Considere implementar una solución de inicio de sesión único que le permita al usuario autenticarse una vez y conectarse sin problemas a cada servidor.

respondido por el ztk 31.07.2015 - 16:38

fuente

Lea otras preguntas en las etiquetas tls man-in-the-middle

¿Ataca con caracteres extraños seguidos de algún javascript en una URL? ¿Los archivos de WordPress protegerán contra el inicio de sesión CSRF?

score 3 · Accepted Answer

¿Existe alguna forma de que el servidor weblogic con una conexión SSL establecida? ¿Se puede reutilizar el certificado del cliente para conectarse a la base de datos?

No , no hay un equivalente de SSL para Desvío de agente SSH ; el servidor SSL no puede reenviar las credenciales del certificado de cliente a otro servidor.

Ahora, eso no quiere decir que no pueda aprovechar las credenciales. Si su servidor weblogic valida el certificado del cliente y luego inserta un encabezado "XI-Authenticated-The-Client: username", la base de datos de back-end puede tratarlo como una autenticación si, como usted dice, tiene control y confianza entre los weblogic y la capa de base de datos.

(Eso es más difícil si no está utilizando algo como HTTP, pero incluso las conexiones de base de datos pueden hacerlo; considere PostgreSQL 'Trust' o 'Ident' métodos de autenticación.)