Disculpe si publiqué esto aquí incorrectamente, sé que la pregunta es en parte sobre el propio haproxy.
Estoy configurando haproxy como un terminador SSL / equilibrador de carga frente a una API que debemos exponer a través de Internet a un cliente.
El plan era utilizar SSL / HTTPS mutuo (bidireccional) para verificar que ambas partes son quienes son, ya que no hay más autenticación en la API. Además de esto, también utilizaremos una lista blanca de IP.
Ahora el cliente nos ha otorgado un certificado que ambas partes utilizan para los certificados de servidor y cliente, este certificado está firmado por una CA "común" (DigiCert). Aunque entiendo que esto es bueno desde la perspectiva del cliente, ya que el certificado también se compara con el nombre de host del servidor al que está accediendo, sin embargo, no parece ser tan seguro (al menos no con haproxy)
De la forma en que lo entiendo actualmente, tengo que decirle a HAProxy que confíe en los certificados firmados por Digicert usando la directiva 'archivo-ca', sin embargo, no hay manera de decirle que, además de eso, también debe ser un certificado de cliente específico, porque no quiero confiar en todos los certificados de cliente firmados por DigiCert.
¿Hay una manera de hacer esto con HAProxy? De lo contrario, supongo que la única forma de avanzar sería hacer certificados de clientes autofirmados para ambas partes e intercambiarlos (o, más bien, las solicitudes de firma de certificados y hacer que la otra parte los firme).
¿O es que mi entendimiento del concepto de certificado de cliente completo es incorrecto?