TLS client certificate caching

[Maxim Dounin]

Hello!

On Wed, May 11, 2016 at 06:39:59AM -0400, milex wrote:

> Добрый день, коллеги!
> 
> Провожу нагрузочное тестирование абстрактного сервера на базе Nginx+OpenSSL
> с помощью JMeter. На сервере выполняется проверка клиентского сертификата
> (двусторонняя аутентификация). Со стороны JMeter создан контейнер с
> сертификатом клиента. Во время теста генерируются сотни запросов в секунду.
> Каждый запрос осуществляется в рамках новой TLS сессии, но с одним и тем же
> сертификатом клиента.
> Собственно вопрос. Есть ли у Nginx какой либо механизм кеширования
> одинаковых клиентских сертификатов (например, по SN и не измененному CRL,
> etc.)? Или в рамках каждой сессии (даже очень часто устанавливаемых) один и
> тот же сертификат клиента проходит полноценную проверку по сертификату CA и
> CRL?

Стандартный механизм кеширования - SSL сессии (которые, в свою 
очередь, могут хранится как на сервере в рамках ssl_session_cache, 
так и на клиенте в рамках session tickets).  Других механизмов 
нет, соответственно каждый раз при создании новой сессии 
клиентский сертификат будет проверяться.

-- 
Maxim Dounin
http://nginx.org/