Apache/Rails: Forwarding PKI

Question

У меня есть пакет Linux/Apache/Rails, в котором размещается служба передачи данных. Служба данных в основном представляет собой интерфейс для нескольких источников данных, сродни объединенному поиску.

Запросы к службе аутентифицируются через PKI. При обработке каждого запроса PKI должен быть перенаправлен в каждый источник данных, подходящий для данного запроса, - каждый источник данных использует PKI для управления доступом к данным.

Я знаю, как получить доступ к DN запроса от Rails, но у меня нет первой подсказки, как получить доступ к PKI или передать его в веб-запросах, запущенных контроллером при обработке запроса. Какие-либо предложения?

Answer 1

Ваше описание затрудняет отслеживание организации, но я стараюсь сделать это.

Характер PKI делает невозможным переадресацию (проксирование) соединения, поскольку две конечные точки настраивают секретный ключ сеанса, известный только этим сторонам. Похоже, у вас есть 3 стороны, клиент, промежуточное звено и конечная точка. Таким образом, клиент может пройти аутентификацию до промежуточного уровня, а промежуточный теперь с уверенностью знает, кто такой клиент. Я думаю, ваш вопрос в том, как получить конечную точку, чтобы точно знать, кто такой клиент. Метод, который я хотел бы выбрать, состоит в том, чтобы каждый промежуточный элемент имел свой собственный сертификат и аутентифицировался до самой конечной точки (так что теперь конечная точка знает, кто является промежуточным звеном с определенностью), тогда просто промежуточный проход DN как некоторое дополнительное поле, которое конечная точка будет доверие от промежуточного.