2.3. Client-Cert-Chain HTTP Header Field (Client-Cert-Chain HTTP 头字段)

在TLS终止反向代理部署的上下文中, 代理可以使用Client-Cert-Chain HTTP头字段向后端应用程序提供证书链。

Client-Cert-Chain是一个List (列表) ([STRUCTURED-FIELDS]的第3.1节)。列表中的每个项必须是按第2.1节中描述的方式编码的Byte Sequence (字节序列)。顺序与TLS中的顺序相同 (如[TLS]第4.4.2节所述)。

Client-Cert-Chain绝对不能出现, 除非Client-Cert也存在, 并且它本身不包括Client-Cert中已经存在的端实体证书。根证书可以从Client-Cert-Chain中省略, 前提是已知目标源服务器拥有省略的信任锚 (trust anchor)。

Client-Cert-Chain头字段仅用于HTTP请求, 绝对不能用于HTTP响应。它可以具有值列表或在请求中多次出现。出于头压缩的目的, 将列表拆分为多个实例可能是有利的。

附录A中的图3有Client-Cert-Chain头字段的示例。

2.3. Client-Cert-Chain HTTP Header Field (Client-Cert-Chain HTTP 头字段)​