Cấu hình nối lại phiên IIS TL TLS?

2

Chúng tôi có một vài máy chủ web IIS 8.5 đang chạy trên Máy chủ 2012 R2 có bật SSL / TLS.

Một tính năng mới quan trọng trong IIS 8.5 là hỗ trợ nối lại phiên TLS. Điều này thật tuyệt vời nó làm giảm lưu lượng đàm phán TLS từ hai RTT xuống còn một. Chúng tôi đang làm việc để giảm một số dữ liệu cho một dịch vụ chúng tôi có, vì vậy điều này rất quan trọng.

Tin tuyệt vời là dường như 'chỉ hoạt động' trong IIS 8.5 sau khi ràng buộc lưu lượng https và đính kèm chứng chỉ. Chúng tôi thấy bắt tay TLS ở yêu cầu đầu tiên và trong các yêu cầu tiếp theo, chúng tôi chỉ thấy dữ liệu được trao đổi.

Có ai biết không:

  • Thời gian chờ mặc định cho việc nối lại phiên TLS trong IIS 8.5 là gì?
  • Làm cách nào để điều chỉnh và định cấu hình thời gian chờ này?

Để biết thêm thông tin về việc nối lại phiên TLS trong Máy chủ 2012 R2, vui lòng sử dụng tài liệu Microsoft này: https://technet.microsoft.com/en-us/l Library / hh831771.aspx

Ngoài ra: Nếu ai đó có thể tạo và gắn thẻ này với "iis-8.5" sẽ được đánh giá cao. Tôi không có đủ điểm trên SuperUser để tạo thẻ.

Cảm ơn bạn!

Chỉnh sửa: Tôi đã thử nghiệm thêm một chút. Điều này dường như không phụ thuộc vào nhóm ứng dụng. Bắt đầu, dừng và tái chế nhóm ứng dụng không khiến bắt tay TLS tái diễn. Tuy nhiên, việc khởi động lại trang web trong IIS (như được giả định) sẽ kích hoạt bắt tay lại.

https  iis  windows-server-2012-r2  tls 
cvocvo
nguồn

Câu trả lời:

0

Jean Sun trên các diễn đàn iis.net đã chỉ cho tôi đi đúng hướng và sau đó tôi đã thực hiện thêm một số thử nghiệm mà bạn sẽ thấy bên dưới. Tôi đang trả lời và đánh dấu đây là câu trả lời ở đây để có thêm thông tin cho việc này. Đây là những bài viết từ đó ( https://forums.iis.net/p/1231668/2119245.aspx )

Bài viết của Jean Sun

Chào,

Vui lòng thử Đặt Thời gian hết thời gian cho bộ đệm SSL, bạn có thể tìm thấy cách thực hiện trong liên kết sau.

https://technet.microsoft.com/en-us/l Library / cc781248 (v = ws.10) .aspx

Trân trọng,

Jean

Bài đăng của tôi trở lại với thông tin chi tiết

Chơi lô tô. Đó là cài đặt. Cảm ơn bạn!

Bạn có biết đâu là giá trị an toàn và được khuyến nghị nếu tôi mong muốn có vài nghìn kết nối cứ sau vài phút 24/7? Nó sẽ là cùng một khách hàng kết nối cứ sau vài phút.

Ngoài ra, để làm việc này bạn có biết nếu khách hàng yêu cầu khách hàng sử dụng / gửi các gói tin còn sống không? Tôi không muốn có khách hàng làm điều đó.

Chỉnh sửa: Xem ghi chú bên dưới. Có vẻ như các gói tin còn sống là bắt buộc, nhưng tiết kiệm dữ liệu cho mỗi yêu cầu máy chủ vẫn xảy ra nếu bạn thực hiện nhiều hơn một yêu cầu cứ sau khoảng 14 phút (theo kinh nghiệm của tôi).

Tốt,

Chris

Chỉnh sửa: Sau khi xem lại lưu lượng trong Wireshark, có vẻ như các gói lưu giữ TCP đang được gửi có hoặc không có khóa đăng ký được đặt. Vì vậy, tôi đã vô hiệu hóa tính năng giữ nguyên trong IIS và nó đã phá vỡ chức năng này, bất kể khóa đăng ký được cấu hình. Có vẻ như TLS vẫn còn sống là một người thuê chính của việc nối lại TLS.

Trong trường hợp bất kỳ ai khác cần biết, TCP giữ các gói sống có kích thước 55 byte (440 bit). Theo quan sát của tôi, chúng được gửi khoảng 45 giây một lần trong khoảng thời gian chờ tối đa của bộ đệm SCHANNEL.

Một hành vi kỳ dị khác:

Tôi đặt bộ đệm SCHANNEL trong sổ đăng ký thành 2 phút. Trước khi tôi cài đặt máy chủ này trên Máy chủ 2012 R2, tôi đã trải qua khoảng 2 giờ thời gian lưu trữ trước khi bắt tay lại SSL / TLS.

Sau khi xóa khoá đăng ký, IIS vẫn xuất hiện tham chiếu giá trị bộ đệm trong hai phút này ngay cả sau khi máy chủ khởi động lại. Vì vậy, nó xuất hiện sau khi đặt giá trị này, bạn cần tăng / giảm thời gian này theo ý muốn, vì bạn sẽ không thể quay lại trạng thái giá trị mặc định của máy chủ mà không được đặt rõ ràng theo cách đó.

cvocvo
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.