Primero, espero que esta sea una pregunta legítima porque se genera por lo que estoy experimentando y lo que está sucediendo. El entorno es el siguiente ... Tengo un proxy inverso de apache, que me puse de pie en nuestro laboratorio, usando mod_ssl. El proxy inverso se usa para autenticar a alguien antes de acceder a una aplicación en mi instancia de laboratorio del servidor Tomcat. Después de la autenticación, mod_ssl reenvía el DN de la PKI a un servlet en Tomcat utilizando AJP.
El servidor apache utiliza un certificado de servidor creado por mi equipo PKI de empresas. Y estoy usando un certificado de usuario también proporcionado por mi empresa. Nuestra empresa también nos emite tokens y tarjetas inteligentes para MFA. También tengo instalados los certificados de CA en el proxy inverso que proporciona mi empresa. Mi servidor se está ejecutando en un laboratorio, pero puede comunicarse con nuestro LDAP empresarial. En nuestro entorno de clientes donde se implementará esta solución, no utilizan tarjetas inteligentes, tokens o MFA. Pero para las pruebas internas tengo que seguir la arquitectura de la empresa. Ahora a mi pregunta. ¿Qué sucede durante el cliente para revertir el protocolo de enlace que está forzando el uso de mi tarjeta inteligente? En general, la tarjeta inteligente es solo para la firma y autenticación digital. Entonces, ¿qué está causando el intercambio entre un navegador y mi propio proxy inverso para que me solicite y requiera mi tarjeta inteligente? ¿Hay algo especial en los certificados que obligue a este requisito?