El certificado de cliente es emitido por CA uno, el certificado del servidor es emitido por CA dos, tanto CA uno como CA dos son raíz CA. ¿El cliente y el servidor pueden autenticarse entre sí en tls?
No hay nada en el protocolo TLS que lo prohíba.
Para el equilibrador de carga con el que tengo experiencia, Citrix NetScaler, usted configura manualmente qué CA (s) acepta para los certificados de cliente.
Por lo tanto, es posible que tenga un certificado para el servidor comprado a una CA pública regular y que pueda configurar el certificado de cliente aceptado para que sea de una CA interna específica que ejecute usted mismo.
De esa manera, usted puede emitir los certificados de cliente usted mismo e infundirlos con campos de datos que le interesan. Como por ejemplo el nombre de usuario o la dirección de correo electrónico de Windows del cliente o algo así como una marca "es miembro del departamento de contabilidad".
El servidor no tiene forma de comunicarse "ese es un bonito certificado que me acabas de mostrar, desafortunadamente no es de la CA que estaba buscando". En su lugar, el servidor solo tiene que abortar el protocolo de enlace, dejando al cliente adivinando por qué esto no funcionó. (Creo que así es como funciona al menos.)
(Hay una extensión TLS para la otra dirección. Le permite al cliente decirle al servidor "Está bien, solo conozco estas tres CA: x, y, z. Es mejor que tenga un certificado de servidor firmado por una de ellas. "Se llama" indicación de CA confiable ". Vea: enlace - Pero creo que solo funciona para los clientes informar a los servidores sobre las CA confiables. Y no al revés. No estoy seguro.)
Lea otras preguntas en las etiquetas tls