Estou configurando o haproxy como um terminador de SSL / balanceador de carga na frente de uma API que precisamos expor pela Internet para um cliente.
O plano era usar SSL / HTTPS mútuo (bidirecional) para verificar se ambas as partes são quem são, já que não há mais autenticação na própria API. Além disso, também utilizaremos uma lista de permissões de IP.
Agora, o cliente nos forneceu um certificado que ambas as partes usam para os certificados do servidor e do cliente. Esse certificado é assinado por uma CA 'comum' (DigiCert). Enquanto eu entendo isso é bom do ponto de vista do cliente, como o certificado também é comparado com o nome do host do servidor que está acessando, no entanto o contrário não parece ser tão seguro (pelo menos não com haproxy)
Do jeito que eu entendo atualmente, eu tenho que dizer ao HAProxy para confiar nos certificados assinados pela Digicert usando a diretiva 'ca-file', no entanto, não há como dizer que além disso também precisa ser um certificado de cliente específico, porque não quero confiar em todos os certificados de cliente assinados pelo DigiCert.
Existe uma maneira de fazer isso com o HAProxy? Se não, eu acho que o único caminho a seguir seria fazer certificados de cliente autoassinados para ambos os lados e trocá-los (ou melhor, pedidos de assinatura de certificado, e fazer a outra parte assiná-los).
Ou o meu entendimento do conceito de certificado de cliente está errado?