Si posee / confía en Proxy inverso , Load Balancer y Servidores deseados , a continuación:
-
Su teléfono móvil cliente tiene el certificado de cliente (a través de algunos medios seguros) que utiliza para autenticar al proxy inverso.
-
El Proxy inverso maneja el descifrado SSL / TLS, luego reenvía el tráfico a Load Balancer y al servidor deseado (sin cifrar).
Load Balancer y Intended Server están ocultos de Internet detrás de los enrutadores / cortafuegos.
El proxy inverso está configurado para permitir solo las conexiones de los certificados de cliente permitidos.
- Alternativamente, todo el tráfico SSL podría pasar a través del Proxy inverso y descifrarlo en el Load Balancer o Servidores de destino , pero eso solo permite Equilibrio de carga basado en IP.
A menos que entienda mal alguna parte de su protocolo, supongo que el Certificado del que habla es para la autenticación en el sitio web de SSL / TLS y no otro certificado.
Editado para agregar:
Agregaste un comentario arriba para explicar que es la creación del certificado inicial (CSR que se firmó) lo que necesita ser cifrado.
En este escenario, debe determinar qué autenticación inicial necesita.
-
¿Está atando el certificado a un mundo real o una identidad anterior? Luego aplique alguna autenticación, como nombre de usuario / contraseña, a través del túnel SSL para crearla inicialmente.
-
Pero si solo está creando un certificado aleatorio para colgar una nueva identidad, entonces SSL / TLS de la aplicación móvil al servidor debería estar bien, verificar primero el certificado del servidor es probablemente una buena medida de seguridad adicional. p>