Действительно ли возможно сделать клиентскую аутентификацию сертификата без рабочего HTTPS на веб-сервере?
Обычно я рекомендовал бы документ, который Вы упомянули, или Набор Миграции SBS, но если Вы действительно только волнуетесь по поводу содержания почтовых ящиков, затем просто экспортируют их из почтовых ящиков на старом сервере и импортируют их в почтовые ящики на новом сервере.
Это зависит от того, как вы используете сертификаты клиента для аутентификации и авторизации пользователей. Допускаете ли вы кого-либо с сертификатом, подписанным кем-то, кого вы знаете, или он должен быть подписан, а CN должен соответствовать чему-то конкретному или равняться пользователю в группе? Ваш текущий веб-сервер обрабатывает авторизацию или ваше приложение?
Типичный способ сделать это - разорвать соединение SSL на балансировщике нагрузки. Этот балансировщик нагрузки будет «полноценным сайтом HTTPS», и его нужно будет настроить для запроса сертификата клиента. Затем ваш loadbalancer проверит, был ли сертификат подписан доверенным центром сертификации. Затем loadbalancer добавит детали из сертификата SSL, такие как DN, в виде заголовков HTTP в простой HTTP-запрос к вашему приложению. Я видел это со всеми основными балансировщиками нагрузки, такими как F5, ZXTM и даже HTTP-сервером Apache.
Я выполняю авторизацию сертификата клиента (я проверяю утверждения типа CN на конкретное имя) в моем приложении node js. (Используя getPeerCertificate () ).
Я разместил его на AWS EC2, также создал для этого домен. Все работает, но с портом 8082 сзади, как, например, для abc.example: 8082 / path . Чтобы удалить этот номер порта, я добавил классический балансировщик нагрузки, но теперь я не получаю сертификат для проверки правильности утверждений.
Что я делаю не так, или есть другой способ?