Respuesta de desafío en varios saltos

1

Esta es una pregunta de seguimiento para " ¿Cuándo debo usar el cifrado de la capa de mensajes frente al cifrado de la capa de transporte ".

Necesito enviar un certificado desde el teléfono móvil al servidor. Independientemente de todos los detalles, mi pregunta real es cómo puedo hacer un paso de desafío-respuesta entre el cliente y el servidor, cuando la comunicación sigue estos pasos: Cliente- > ReverseProxy- > LoadBalancer- > ...- > intentadoServidor

Y eso en realidad está detrás de mi Pregunta !

    
pregunta smiley 11.07.2011 - 08:58
fuente

1 respuesta

4

Si posee / confía en Proxy inverso , Load Balancer y Servidores deseados , a continuación:

  • Su teléfono móvil cliente tiene el certificado de cliente (a través de algunos medios seguros) que utiliza para autenticar al proxy inverso.

  • El Proxy inverso maneja el descifrado SSL / TLS, luego reenvía el tráfico a Load Balancer y al servidor deseado (sin cifrar).

  • Load Balancer y Intended Server están ocultos de Internet detrás de los enrutadores / cortafuegos.

El proxy inverso está configurado para permitir solo las conexiones de los certificados de cliente permitidos.

  • Alternativamente, todo el tráfico SSL podría pasar a través del Proxy inverso y descifrarlo en el Load Balancer o Servidores de destino , pero eso solo permite Equilibrio de carga basado en IP.

A menos que entienda mal alguna parte de su protocolo, supongo que el Certificado del que habla es para la autenticación en el sitio web de SSL / TLS y no otro certificado.

Editado para agregar:

Agregaste un comentario arriba para explicar que es la creación del certificado inicial (CSR que se firmó) lo que necesita ser cifrado.

En este escenario, debe determinar qué autenticación inicial necesita.

  • ¿Está atando el certificado a un mundo real o una identidad anterior? Luego aplique alguna autenticación, como nombre de usuario / contraseña, a través del túnel SSL para crearla inicialmente.

  • Pero si solo está creando un certificado aleatorio para colgar una nueva identidad, entonces SSL / TLS de la aplicación móvil al servidor debería estar bien, verificar primero el certificado del servidor es probablemente una buena medida de seguridad adicional. p>

respondido por el Andrew Russell 11.07.2011 - 10:26
fuente

Lea otras preguntas en las etiquetas