2013-05-03 201 views
2

登錄到我的Web應用程序後,用戶需要使用X.509證書進行身份驗證。與客戶端證書的Apache「SSLSessionCacheTimeout」

一段時間不活動後,用戶將嘗試繼續使用該網站。此時,將嘗試新的會話,但會失敗。它由於重新認證沒有發生而失敗。

如果我將Apache的SSLSessionCacheTimeout增加到8小時,那麼客戶端在創建會話期間不再需要重新進行身份驗證?

注 - 假定需要在爲Apache SSLSessionCacheTimeout設置的8小時內創建新會話。

編輯或者,SSL會話是否不會影響HTTPS會話?

+1

SSL會話重新協商不應該對應用程序級會話產生任何影響。關於「用戶需要使用X.509認證進行身份驗證」的含義,您可以更具體一些嗎?「會嘗試創建一個新的會話,但會失敗,因爲沒有發生重認證「。 ? – 2013-05-03 13:11:38

+0

用戶首次登錄到Web應用程序|從智能卡選擇證書|自定義的Spring Security代碼提取必要的LDAP憑證|最終可以訪問網絡應用程序。但是,如果用戶的會話過期,則無法創建新的會話(可能是因爲不重新驗證),並且Web應用程序崩潰。我很好奇,通過將Apache字段設置爲更高的值,是否可以通過更高的值驗證新會話,因爲它可能會使用客戶端證書。 – 2013-05-03 14:09:33

+1

問題是,瀏覽器會自動重發X.509證書,以防服務器(未找到客戶端發送的sessionID匹配)請求新會話。因此,除了在應用程序級別發生的情況之外,在SSLSessionCacheTimeout之後發生的新TLS會話創建應與第一個TLS會話創建不同。請注意,如果客戶端和服務器使用rfc5077「無服務器端狀態的會話恢復」,則不適用此選項。 – 2013-05-03 15:04:37

回答

1

查看Apache SSL文檔http://www.apache-ssl.org/docs.html 根據文檔查找「SSLSessionCacheTimeout」,增加此設置的值應該可以工作。

+0

你讀過評論嗎? *當然,*增加SSL會話超時將增加SSL會話超時,但在問題中沒有證據表明這是實際問題,並且有許多理由不會過度延長SSL會話,從安全問題和資源使用開始。 – EJP 2013-05-13 12:31:11

+1

明白了,我錯過了5月7日以後的更多評論。 – lyaffe 2013-05-15 07:48:00

+0

我不知道,但這解決了我的問題,當用戶從VPN訪問網站的某些時候,他們能夠訪問網站,增加了這一點,並沒有人抱怨,因此。 – maco1717 2017-04-12 14:32:59