GCPとAWSともにロードバランサーでmTLSを利用してclient証明書検証ができるようになったので試してみた。
完成コードはGitHub - paihu/mtls-sample
どちらも普通に動くけれど、
GCPのほうは、検証しつつ、failしてもバックエンドに渡すことができる。
AWSのほうは、検証する場合は、failしたら通さない。検証しない場合は、証明書情報を丸ごとバックエンドに渡すので、自分で検証する。
というオプションが用意されている。
このあたり、微妙に思想の違いがあって面白い。
また、証明書の検証は、GCPのほうが厳密。証明書の用途などがおかしかったりすると、うまく検証できなかったりするので、ちゃんと証明書を作る必要があった。
どちらもうまく動きはしたし、ばっくえんどサービスに証明書のシリアルなど、必要な情報を渡せたので、本運用につなげることができそうだった。