TLS client certificate caching
Maxim Dounin
mdounin на mdounin.ru
Ср Май 11 10:51:22 UTC 2016
Hello!
On Wed, May 11, 2016 at 06:39:59AM -0400, milex wrote:
> Добрый день, коллеги!
>
> Провожу нагрузочное тестирование абстрактного сервера на базе Nginx+OpenSSL
> с помощью JMeter. На сервере выполняется проверка клиентского сертификата
> (двусторонняя аутентификация). Со стороны JMeter создан контейнер с
> сертификатом клиента. Во время теста генерируются сотни запросов в секунду.
> Каждый запрос осуществляется в рамках новой TLS сессии, но с одним и тем же
> сертификатом клиента.
> Собственно вопрос. Есть ли у Nginx какой либо механизм кеширования
> одинаковых клиентских сертификатов (например, по SN и не измененному CRL,
> etc.)? Или в рамках каждой сессии (даже очень часто устанавливаемых) один и
> тот же сертификат клиента проходит полноценную проверку по сертификату CA и
> CRL?
Стандартный механизм кеширования - SSL сессии (которые, в свою
очередь, могут хранится как на сервере в рамках ssl_session_cache,
так и на клиенте в рамках session tickets). Других механизмов
нет, соответственно каждый раз при создании новой сессии
клиентский сертификат будет проверяться.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru