「FW1は、社内PCがもっているクライアント証明書に対応した秘密鍵を利用することができない。」という記載がありますが、なぜ秘密鍵を利用できないことが制約になるのでしょうか。クライアント証明書の秘密鍵はクライアント証明書を生成した社内PCが生成する認識で、FW1は特にクライアント証明書に対応した秘密鍵を使う処理はないと思ったのですが、なぜこれが制約になるのでしょうか。制約の意味が理解できず悩んでいるため、ご教授いただけると助かります。

制約とは「失敗する理由」という意味でよいと思います。

このFWは社内PCの代理として外部Webサーバにアクセスします。
外部WebサーバからみればFWがクライアントになります。
FWはクライアント証明書と秘密鍵をもっていないため、クライアント認証が
必要な外部Webサーバへアクセスすることはできません。

毎度毎度ありがとうございます。

社内PCと外部ウェブサーバ間にFW1があることから、FW1が社内PCが生成したクライアント証明書と公開鍵を中継するだけだと理解しています。よって、FW1が外部サーバへ渡すのは、社内PCが生成したクライアント証明書と公開鍵であり、FW 1が秘密鍵を持っている必要がないと考えましたが、私の理解で誤っている部分はございますか。（FW 1は土管のイメージ）

勉強不足で恐縮ですが、どうぞよろしくおねがいします。

この投稿は投稿者により削除されました。(2023.04.14 15:22)

図4からTLSセッションは
・社内PC - FW1
・FW1 - 外部Webサーバ
の別々で張ると読み取れます。

図4から上記を読み取ることができていませんでした。
クライアント証明書を求めている外部WEBサーバと接続するためには、社内PCのクライアント証明書が必要であり、社内PCのクライアント証明書を生成するためには社内PCの秘密鍵が必要。しかし、FW 1には社内PCの秘密鍵がないため、クライアント証明書が生成できず外部WEBサーバとの接続に失敗する、と理解しました。

大変助かりました。ありがとうございます。

>社内PCと外部ウェブサーバ間にFW1があることから、FW1が社内PCが生成した
>クライアント証明書と公開鍵を中継するだけだと理解しています。
その点の認識に誤りがあります。
図4からTLSセッションは
・社内PC - FW1
・FW1 - 外部Webサーバ
の別々で張ると読み取れます。

土管で例えるならば、
・通常のアクセスの場合（クライアント証明書が不要の場合）
１．社内PC - FW1の間に土管を作る
２．FW1 - 外部Webサーバの間に土管を作る
３．2本土管が作れたので、これ以降FWを挟んで社内PCと外部Webサーバが
通信できるようになる

・クライアント証明書が必要の場合
１．社内PC - FW1の間に土管を作る
２．FW1 - 外部Webサーバの間に土管を作ろうとするが、クライアント証明書が
  ないため失敗する
となります。

当然ですが、セッションを2つ別々に張るのはFWでTLSセッションを復号して
通信の内容を検査するためです。
仮に社内PCと外部Webサーバでセッションを1本にした場合、FWで通信内容を
復号・検査できない、ただのFWになります。