今某製品の資料を作成中にふと思ったのだけど、AFWって、欠点があるんじゃないかな？
クライアント証明書でユーザー認証を行っているアプリケーションを作っていた場合、一旦AFWでSSLの証明書チェックとか終わってしまうから、認証が必要なWebサーバーへクライアント証明書がとばへん。おかげでWebアプリの認証を変更しないのと違うかなぁ？
解決策としては、AFWではSSLの複合を行い、パラメータチェックをやった上で問題がなければ、受け取ったパケットをそのままバックのWebサーバーに投げるとWebサーバーでSSLの証明書をチェックできる。この結果ユーザーの認証も出来るのでは？
もう一つの解決策としてはAFWで複合化し、クライアント証明書のチェックとともにSubject DNからユーザーを取得、WebサーバーにはCookieなどにユーザー識別氏をリクエストに追加して送信すれば、Webアプリ側でユーザーの認証できるんじゃないかな？こっちの場合はWebアプリの修正が入るので既存のアプリの場合は面倒そう。
どっちにしろ、クライアント証明書でユーザー認証しているWebアプリなんてほとんどないから問題ないだろうけど。