可以按需接收 TLS 服务器证书链吗?
Possible to receive the TLS server certificate chain on demand?
我正在开发一个 M2M 应用程序,该应用程序的数据量受到严格限制,移动客户端必须经常设置 TLS 连接。客户端缓存服务器证书链是否有标准方法或最佳实践,这样服务器就不需要在每次连接设置时发送整个链?
我可以想到一个不沿着(可选)证书链发送的服务器。如果客户端将链保存在其本地缓存中,则客户端将照常进行。但是,一旦服务器证书过期,客户端必须以某种方式告诉服务器它必须沿着新链发送。
是否可以按照上述方式在 apache 或 ngix 中配置流行的 TLS 实现?
非常感谢您的帮助!
乌里
客户端无法按需向服务器请求链。有一种方法可以在证书中包含一个 URL,它可以获得颁发者的证书,但是客户端必须提取此 URL 并按需下载证书。一些桌面浏览器会这样做,但大多数其他 SSL 堆栈不会。
但是如果客户端和服务器支持会话重用,那么服务器只在会话中为第一个连接发送证书和链,而不是在恢复会话时发送证书和链。
我正在开发一个 M2M 应用程序,该应用程序的数据量受到严格限制,移动客户端必须经常设置 TLS 连接。客户端缓存服务器证书链是否有标准方法或最佳实践,这样服务器就不需要在每次连接设置时发送整个链? 我可以想到一个不沿着(可选)证书链发送的服务器。如果客户端将链保存在其本地缓存中,则客户端将照常进行。但是,一旦服务器证书过期,客户端必须以某种方式告诉服务器它必须沿着新链发送。
是否可以按照上述方式在 apache 或 ngix 中配置流行的 TLS 实现?
非常感谢您的帮助! 乌里
客户端无法按需向服务器请求链。有一种方法可以在证书中包含一个 URL,它可以获得颁发者的证书,但是客户端必须提取此 URL 并按需下载证书。一些桌面浏览器会这样做,但大多数其他 SSL 堆栈不会。
但是如果客户端和服务器支持会话重用,那么服务器只在会话中为第一个连接发送证书和链,而不是在恢复会话时发送证书和链。