Zum Hauptinhalt springen

2.3. Client-Cert-Chain HTTP Header Field (Client-Cert-Chain HTTP-Header-Feld)

2.3. Client-Cert-Chain HTTP Header Field (Client-Cert-Chain HTTP-Header-Feld)

Im Kontext einer TLS-terminierenden Reverse-Proxy-Bereitstellung KANN der Proxy die Zertifikatskette der Backend-Anwendung mit dem Client-Cert-Chain HTTP-Header-Feld zur Verfügung stellen.

Client-Cert-Chain ist eine List (Liste) (Abschnitt 3.1 von [STRUCTURED-FIELDS]). Jedes Element in der Liste MUSS eine Byte Sequence (Byte-Sequenz) sein, die wie in Abschnitt 2.1 beschrieben kodiert ist. Die Reihenfolge ist dieselbe wie die Reihenfolge in TLS (wie in Abschnitt 4.4.2 von [TLS] beschrieben).

Client-Cert-Chain DARF NICHT erscheinen, es sei denn, Client-Cert ist ebenfalls vorhanden, und es enthält nicht selbst das Endentitätszertifikat, das bereits in Client-Cert vorhanden ist. Das Wurzelzertifikat KANN von Client-Cert-Chain weggelassen werden, vorausgesetzt, dass der Zielursprungsserver bekanntermaßen den weggelassenen Vertrauensanker (trust anchor) besitzt.

Das Client-Cert-Chain-Header-Feld ist nur für die Verwendung in HTTP-Anfragen bestimmt und DARF NICHT in HTTP-Antworten verwendet werden. Es KANN eine Werteliste haben oder mehrmals in einer Anfrage vorkommen. Für Zwecke der Header-Komprimierung könnte es vorteilhaft sein, Listen in mehrere Instanzen aufzuteilen.

Abbildung 3 in Anhang A enthält ein Beispiel für das Client-Cert-Chain-Header-Feld.

Letztes Update am