我要评论核心结论:sslsessioncache 不支持分布式共享
sslsessioncache 是 apache 原生的本地会话缓存机制,只能在同一台机器的进程间共享,无法跨服务器使用。它底层依赖 shmcb(共享内存环状缓冲)或 dbm(磁盘文件),这两种存储都不是网络可访问的。
如果你希望在多台 apache 服务器组成的集群中实现 tls 会话复用,正确方案是:
方案一:启用 sslsessiontickets + 共享 ticket key(推荐)
会话票证(session tickets)是一种服务端无状态的会话恢复机制。服务器将会话信息加密后存储在客户端,无需后端共享存储,天然适合分布式环境。
配置步骤
1. 生成统一的 ticket key 文件
选择一台服务器,生成 48 字节的随机密钥(aes256 加密需要):
dd if=/dev/urandom of=/etc/apache2/ssl/ticket.key bs=48 count=1 chmod 600 /etc/apache2/ssl/ticket.key
2. 将该密钥文件分发到集群中所有 apache 服务器
保持路径和权限一致(仅 root 可读)。
3. 在每台服务器的 ssl 配置中添加以下指令
<virtualhost *:443>
servername yourdomain.com
sslengine on
sslcertificatefile /path/to/certificate.crt
sslcertificatekeyfile /path/to/private.key
# 启用会话票证
sslsessiontickets on
# 指定共享的票据密钥文件(所有节点必须相同)
sslsessionticketkeyfile /etc/apache2/ssl/ticket.key
# 可选:仍然配置本地缓存作为备降方案
sslsessioncache "shmcb:/var/run/apache2/ssl_scache(512000)"
sslsessioncachetimeout 300
</virtualhost>4. 重启 apache
sudo systemctl restart apache2
注意事项
- apache 2.4.12+ 才完整支持密钥轮换,旧版本只能使用静态密钥
- 如需更换密钥,所有节点必须同步更新,否则客户端携带旧票证会被拒绝
- 部分老旧客户端(如某些 android 版本)对票证支持不完善
方案二:使用 memcached 作为集中式会话缓存
如果必须使用服务端存储模式(例如客户端不支持票证),可以配置 apache 使用 memcached 作为共享缓存后端。
前置条件
需要加载 mod_socache_memcache 模块:
sudo a2enmod socache_shmcb # 基础模块 # 需要额外编译或安装 mod_socache_memcache
配置示例
# 加载 memcached 缓存模块 loadmodule socache_memcache_module modules/mod_socache_memcache.so # 配置 memcached 服务器地址(全局或 virtualhost 内) sslsessioncache "memcache:192.168.1.10:11211,192.168.1.11:11211" sslsessioncachetimeout 300
apache 官方提供了四种缓存提供者:dbm、dc(distcache)、memcache、shmcb,其中仅 memcache 和 dc 支持分布式场景。
⚠️ mod_socache_memcache 并非所有发行版默认编译,如需使用可能需要从源码编译 apache 或安装第三方模块。
方案三:负载均衡层解决(粘性会话)
如果不想改动 tls 层配置,可以在负载均衡器(如 nginx、haproxy、f5)上开启粘性会话(sticky sessions),确保同一客户端的请求始终路由到同一台后端服务器。
这种方式下,每台服务器使用本地的 sslsessioncache shmcb 即可,无需跨节点共享。但缺点是:某台服务器故障时,该服务器上的会话将丢失,客户端需要重新完整握手。
验证配置是否生效
1. 启用 server-status 查看缓存状态
<ifmodule mod_status.c>
extendedstatus on
<location /server-status>
sethandler server-status
require local # 或限制来源 ip
</location>
</ifmodule>访问 http://your-server/server-status,查找 ssl/tls session cache 部分,确认有缓存命中记录。
2. 使用 curl 测试会话复用
# 第一次连接(握手) curl -v https://yourdomain.com/ --cacert ca.pem 2>&1 | grep -i "session" # 第二次连接(应显示 session reused) curl -v https://yourdomain.com/ --cacert ca.pem 2>&1 | grep -i "session"
常见误区提醒
| 误用的做法 | 为什么不行 |
|---|---|
| 把 shmcb 缓存文件复制到其他服务器 | apache 启动时会校验文件结构和大小,直接拒绝加载 |
| 用 sslcachekeylog 导出会话状态 | 该指令仅用于调试(如 wireshark 解密 tls 流),输出的是明文 master secret,不是会话状态本身 |
| 混淆 tls 会话与应用层会话(如 php session) | tls 会话解决的是握手开销,与用户登录态、购物车等数据完全无关。应用层会话共享仍需配置 redis 等方案 |
总结
| 方案 | 适用场景 | 复杂度 |
|---|---|---|
| sslsessiontickets + 共享密钥 | 大多数现代浏览器环境 | 低 |
| memcached 集中缓存 | 需要服务端存储、客户端兼容性要求高 | 高 |
| 负载均衡粘性会话 | 不想改动 tls 配置 | 中 |
对于绝大多数场景,启用 sslsessiontickets on 并保持所有节点票据密钥一致是最简洁有效的方案。
到此这篇关于apache中配置sslcache实现分布式环境下的会话共享的文章就介绍到这了,更多相关apache sslcache会话共享内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论