TLS 1.0を受け入れ、TLS 1.2ダウンストリームを呼び出すプロキシサーバー
クライアントソフトウェアのバージョンはTLS 1.0プロトコルを使用してWebサービスに接続し(現在のバージョンはまだ最新のプロトコルバージョンを使用するように構成できません)、最近サーバーポリシーがアップグレードされてTLS 1.2のみを許可します。
TLS 1.0接続を受け入れ、ダウンストリームのTLS 1.2接続を介して機能するプロキシサーバーを作成することは可能ですか?
これにより、クライアントソフトウェアがアップグレードされるまで、一時的に問題が解決されます。
このようなプロキシサーバーの作成に使用できるソフトウェアは何ですか?
はい、これは可能です。プロトコルがHTTPSの場合、TLSインターセプトと分析のためにこの機能を備えたFiddler、mitmproxy、またはsquidのようなさまざまなソフトウェアを使用できます。また、さまざまなファイアウォールがこの目的のためにそのような機能を備えています。 socat を使用して、片側のTLSサーバーおよびTLSクライアントとして機能することもできます。ただし、これらのすべての場合において、元の証明書は失われ、新しい証明書が使用されます。これらのソリューションのすべてが元の証明書を適切にチェックするわけではありません。
リバースプロキシモードでmitmproxyを使用してセットアップを正常に完了しました。
https://mitmproxy.readthedocs.io/en/v2.0.2/features/reverseproxy.html 。
プロキシがクライアントのソフトウェアとシステムに対して透過的に暗号化/復号化署名を行えるようにするには、Webサービスの証明書PEM(証明書と秘密鍵を含む)が必要です。