GCPとAWSともにロードバランサーでmTLSを利用してclient証明書検証ができるようになったので試してみた。

完成コードはGitHub - paihu/mtls-sample

どちらも普通に動くけれど、

GCPのほうは、検証しつつ、failしてもバックエンドに渡すことができる。

AWSのほうは、検証する場合は、failしたら通さない。検証しない場合は、証明書情報を丸ごとバックエンドに渡すので、自分で検証する。

というオプションが用意されている。

このあたり、微妙に思想の違いがあって面白い。

また、証明書の検証は、GCPのほうが厳密。証明書の用途などがおかしかったりすると、うまく検証できなかったりするので、ちゃんと証明書を作る必要があった。

どちらもうまく動きはしたし、ばっくえんどサービスに証明書のシリアルなど、必要な情報を渡せたので、本運用につなげることができそうだった。