Клиентская ошибка аутентификации сертификата
Кэширующийся слой помог бы со статическим содержанием, но я не вижу, как это поможет с динамическими API очень. Однако это может все еще быть полезно.
Например, Вы могли использовать CDN, чтобы помочь кэшировать и распределить статические вещи уменьшить рабочую нагрузку Вашего сервера так, чтобы это могло провести больше времени на динамическом материале.
Для Вашего динамического материала, можно хотеть использовать что-то как то, что он упомянул здесь при использовании CDN для динамического материала.
Тот же способ, которым сертификаты сервера однозначно определяют сервер (или домен), клиентские сертификаты, однозначно определяет клиент. И точно так же, как сертификаты сервера должны быть подписаны кем-то клиентские тресты, клиентские сертификаты должны быть подписаны кем-то тресты сервера.
Обычно при конфигурировании сервера для принятия клиентских сертификатов, Вы указываете сертификат подписания, который должен использоваться для подписания сертификата клиента. Это позволяет серверу знать, что клиент "авторизовывается", независимо от того, что это могло бы означать в Вашем контексте, так как, по-видимому, Вы только подпишете сертификаты для "авторизованных" пользователей.
Разрешение клиентских сертификатов, не делая никакого вида проверки обычно возможно с большинством серверов, но видом поражений целая цель.
Это зависит от типа сертификата сервера. Иногда самоподписываемые сертификаты могут быть проблематичными. Если это подписывается Центром сертификации, обычно клиентский сертификат должен будет также быть подписан тем же CA и, возможно, нуждается во всей цепочке сертификата, включенной также.
Можно использовать openssl для сбора некоторой информации о приемлемой АВАРИИ для клиентских сертификатов с командной строкой:
openssl s_client -connect host.domain.tld:443
или независимо от того, что порт SSL слушает на. Это должно дать информацию о цепочке сертификата полностью до корневого CA и также обеспечить приемлемую АВАРИЮ для клиентских сертификатов также.
jtpresta в одном из его комментариев косвенно высказывает интересное, но очень истинное мнение: аутентификация клиента SSL является путаницей. Это хорошо, потому что это абсолютно безопасно, но это дрянно, потому что трудно и настроить и поддержать.
Если у Вас нет действительно серьезного основания, пойдите с общей ключевой аутентификацией вместо этого (т.е. "пароль"). Вы сэкономите время и деньги. Аутентификация SSL хороша для когда козыри безопасности, стоившие довольно большим отрывом.
CA.plкоторый идет с OpenSSL (см.man CA.pl) сценарий, который может помочь Вам создать свое собственное Приблизительно – Bruno 13 September 2010 в 21:56CertificateRequestсообщение является на самом деле просто подсказкой). Если Вы смотрите на то, как Apache, Httpd делает это, список, настроен черезSSLCADNRequestFileдиректива, тогда как принятая АВАРИЯ прибывает изSSLCACertificatePath/...File(конфигурированиеSSLCADNRequestFileобычно не необходимо, поскольку список DN CA автозаполняется списком АВАРИИ по умолчанию. Посмотрите это: stackoverflow.com/questions/3476288 / … – Bruno 14 September 2010 в 22:06