B.3. TLS-Terminating Proxies (TLS-terminierende Proxys)

In diesem Beispiel steht ein TLS-terminierender Reverse-Proxy vor der Ressource. Der Client signiert die Anfrage nicht, sondern nutzt Mutual TLS. Der terminierende Proxy prüft den TLS-Strom, fügt gemäß [CLIENT-CERT] ein Header-Feld Client-Cert ein und signiert dieses Feld. Damit belegt der Proxy nicht nur die eigene Prüfung der TLS-Parameter der ursprünglichen Anfrage, sondern authentifiziert sich gegenüber dem Backend unabhängig vom Client.

Der Client sendet folgende Anfrage an den TLS-terminierenden Proxy per Mutual TLS:

POST /foo?param=Value&Pet=dog HTTP/1.1 Host: example.com Date: Tue, 20 Apr 2021 02:07:55 GMT Content-Type: application/json Content-Length: 18

{"hello": "world"}

Der Proxy verarbeitet die TLS-Verbindung, extrahiert das Client-Zertifikat in ein Client-Cert-Feld und leitet an den internen Dienst unter service.internal.example weiter. Es entsteht folgende nicht signierte Anfrage:

HINWEIS: Zeilenumbruch gemäß RFC 8792

POST /foo?param=Value&Pet=dog HTTP/1.1 Host: service.internal.example Date: Tue, 20 Apr 2021 02:07:55 GMT Content-Type: application/json Content-Length: 18 Client-Cert: :MIIBqDCCAU6gAwIBAgIBBzAKBggqhkjOPQQDAjA6MRswGQYDVQQKD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=:

{"hello": "world"}

Ohne Signatur müsste der interne Dienst blind der eingehenden Verbindung vertrauen. Durch Signatur von Client-Cert und weiteren Teilen der internen Anfrage kann der Dienst sicher sein, dass der vertrauenswürdige Proxy die Anfrage verarbeitet und korrekt weitergegeben hat. Signaturbasis des Proxys:

HINWEIS: Zeilenumbruch gemäß RFC 8792

"@path": /foo "@query": ?param=Value&Pet=dog "@method": POST "@authority": service.internal.example "client-cert": :MIIBqDCCAU6gAwIBAgIBBzAKBggqhkjOPQQDAjA6MRswGQYDVQQ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=: "@signature-params": ("@path" "@query" "@method" "@authority"
"client-cert");created=1618884473;keyid="test-key-ecc-p256"

Daraus ergibt sich folgender Signaturwert:

HINWEIS: Zeilenumbruch gemäß RFC 8792

xVMHVpawaAC/0SbHrKRs9i8I3eOs5RtTMGCWXm/9nvZzoHsIg6Mce9315T6xoklyy0y
zhD9ah4JHRwMLOgmizw==

und folgende signierte Anfrage vom Proxy an den internen Dienst mit Label ttrp:

HINWEIS: Zeilenumbruch gemäß RFC 8792

{"hello": "world"}

Der interne Dienst kann die Proxy-Signatur verifizieren und damit dem ordnungsgemäßen Umgang mit dem Client-Zertifikat vertrauen.

B.3. TLS-Terminating Proxies (TLS-terminierende Proxys)​

B.3. TLS-Terminating Proxies (TLS-terminierende Proxys)