Hello!

On Sat, Sep 16, 2017 at 11:52:05PM +0300, Mike Patutin wrote:

> Немного странный вопрос, в чем смысл renegotiation на backend коннектах и
> для чего это нужно?

Это нужно для того, чтобы nginx мог общаться с бекендами, которые
пытаются инициировать renegotiation для запроса сертификата.

> Можно ли применить эти изменения для реализации следующей схемы:
>
> Клиентом является железка, которая умеет ssl соединение с сервером
> управления (tomcat).
> Железка сначала регистрируется на сервере, и он ей отдает сертификат,
> который в последующем используется для ее авторизации.
> Т.е на определенный URL можно сделать запрос по https без корретного
> сертификата, на другие - нет
> В первый момент железка делает запрос с собственным сертификатом,
> выполяняются определенные действия, передается корректный сертификат
> авторизации, а потом томкат вызывает тот самый renegotiation и дальнейший
> обмен не может быть выполнен без авторизации по сертификату.
> Поменять поведение железки - не могу в принципе (жесточайшее legacy, причем
> часть просто не обновляемая в принципе)
> Томкатом в определенных пределах могу управлять.
> Железок много, приходится делать балансировщик. И вот тут я столкнулся с
> невозможностью пробросить ssl renegotiation c бекенда на клиента.

Если я правильно понял задачу, то она не решается иначе как
установлением прямого соединения между клиентом и сервером
управления. Ну или сложной логикой, которая бы меняла
сертификаты, посылаемые клиентом в исходном запросе.

Потому что если клиент прислал сертификат, и сервер управления его
проверяет - то одной из решаемых задач является защита от
MitM-атак. А попытка вставить между ними nginx - это фактически и
есть MitM-атака.

> Я правильно понимаю что заявленный функционал в 1.13 предназначен для
> реализации подобной схемы, или это не так?

Нет, это не так.

--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru