cxf, ssl i load balancer

Potrzebuję potwierdzenia czy dobrze rozumiem temat security w webserwisach

1. Mam tak że jest ssl między firmami, potem u mnie jest load balancer i wewnętrzny ruch po http. Wiadomości są podpisane
2. Inna możliwość jak rozumiem to konfiguracja ws żeby sam z siebie wymagał i używał ssl

Ogólnie chodzi o to że klient używa ibm message broker i twierdzi że nie wystawiam certyfikatu, nie wie też jak podpisywać wiadomości ale to raczej inny temat i przypuszczam że pownienem zaimplementować 2 wersję
wsdl generuje się "w locie", może to kwestia braku jakieś sekcji i dało by radę pozostać przy aktualnej implementacji

Edit. Klient pisze  że nie ma 2way ssl validation

Samą wiadomość możesz podpasać certem, a ty pewnie masz transport na https'ie

Szczery napisał(a):

Samą wiadomość możesz podpasać certem, a ty pewnie masz transport na https'ie

tak właśnie zrobiłem ale wychodzi na to że architektura ma być jednak inna czyli 2 way ssl authentication i wtedy nie muszę też ich podpisywać "ręcznie" certem tylko same sie podpiszą.
Teraz pytanie czy wystarczy 1. konfiguracja ngixa 2. zmiany w apce 3 zmiany i tu i tu co sugeruje większość tutorali. Widzę że muszę sobie produkcję zreplikować lokalnie bo inaczej nie będę miał 100% pewności czy zadziała

Według mnie tylko 2
Bo przecież on wysyłając do ciebie wiadomość musi ją zaszyfrować twoim certem z ngix ale ty musisz w odpowiedzi zaszyfrować message jego certem publicznym....pytanie czy go masz, oraz czy on jest na to gotowy

jestem już prawie expertem od ssl ;)
Ogólnie przynajmniej ostanie problemy wzieły sie z tego że mamy dość typową konfigruacją czy reverse proxy, na tym kilka poddomen np osobna dla webserwisów dla klienta zewbętrznego. I wtedy klient musi obsługiwać SNI. A java6 nie obsługuje, java8 ma błąd i też nie obsługuje, curl skompilowany np u mnie na mint jest z gnutls a nie z openssl i też nie działa dla 2 way ssl
Jeszcze muszę pomyśleć z tym zrobić, może puścić ruch do serwerów jetty. Tylko z wcześniejszych eksperymentów mi wynikało że nawet jak z poziomu javy wszystko sobie ustawie i to i tak w konfiguracji jetty muszę uaktywnić ssl a co za tym idzie ustawić keystore, trustore itd co dla mnie jest bez sensu bo mam serwerów kilka
Tak poza tym wiele tutoriali cxf pokazuje np taką konfiguracje
filter.getInclude().add(".EXPORT.");
filter.getInclude().add(".EXPORT1024.");
filter.getInclude().add(".WITH_DES.");
filter.getInclude().add(".WITH_NULL.");
filter.getExclude().add(".DH_anon.");
Tylko to są starocie i domyślnie wyłączone na w miarę aktualnych serwerach