0

私の Web アプリケーションは、事前認証によってユーザーを認証します (すべての要求には、サーバーが要求を認証するために使用するクライアント側の証明書が含まれます)。

セットアップ: Apache Web サーバー、Tomcat アプリケーション サーバー、mod_jk コネクタ

  1. クライアントが Apache サーバーにヒットし、証明書を選択します
  2. SSL ハンドシェイクは、クライアントのブラウザーがサーバーの証明書を検証し、サーバーがクライアントの渡された証明書が有効であることを確認するところから始まります。
  3. SSL が確立されると、サーバーは認証のために SSL_CLIENT_CERT を Tomcat に渡します。

編集:

さらに、ユーザーのクライアント証明書は証明書失効リスト (CRL) に対してチェックされます。

CRL または CRL Delta をダウンロードし、クライアントの証明書が失効していないことを確認するために必要な追加の時間は、おそらく時間がかかりますか?

4

1 に答える 1

1

もちろん、しかし、それはあなたが思っているほど頻繁には起こりません。サーバーはほぼ確実にCRLをキャッシュし、1時間などの間隔でそれを再取得しません.(1) HTTPキープアライブと(2) SSLのために、クライアント証明書がすべてのリクエストで送信されるという前提も正しくありません.サーバーで構成されている期間、おそらく10〜15分、場合によっては1時間、場合によっては1日の間、同じSSLセッションを再利用し続けるセッションキャッシング。

于 2013-06-23T00:32:31.230 に答える