经典负载均衡器、应用程序负载均衡器、网络负载均衡器是否支持 SSL/TLS 会话恢复？

解决方法

所有类型的负载均衡器都可支持 SSL/TLS 会话恢复。但是它们支持的连接方法各不相同。

SSL/TLS 连接方法

TLS 握手有两种类型：完整握手和简单握手。完整握手仅执行一次。握手后，客户端与服务器建立 SSL/TLS 会话。在后续连接中，简单握手可用于更快地恢复先前协商的会话。

有两种方法可以建立或恢复 TLS 连接：

• SSL 会话 ID – 此方法基于客户端和服务器在完全协商的连接结束后的一段时间内皆保留会话安全参数。意图使用会话恢复的服务器为会话分配一个唯一标识符，这称为会话 ID。然后，服务器在 ServerHello 消息中将会话 ID 返回给客户端。要恢复先前的会话，客户端必须在 ClientHello 消息中提交相应的会话 ID。如果服务器在其缓存中找到相应会话并接受请求，则服务器将返回相同的会话标识符。然后，服务器继续进行缩短的 SSL 握手。否则，服务器会发出新的会话标识符并切换到完整握手。
• SSL 会话票据 - 此方法不需要服务器端存储。服务器收集所有会话数据，对其进行加密，然后以令牌形式将其返回给客户端。在后续连接中，客户端将令牌提交回服务器。然后，服务器检查票证完整性，解密内容，然后使用令牌中的信息恢复会话。如果服务器或客户端不支持此扩展，则回退到 SSL 中内置的会话标识符机制。

每种负载均衡器类型支持的 SSL/TLS 连接方法

经典负载均衡器

经典负载均衡器支持基于会话 ID 的 SSL/TLS 会话恢复，但不支持基于会话令牌的 SSL 会话恢复。系统在节点级别支持 SSL 会话缓存。例如，假设客户端使用从节点 A 收到的 SSL 会话 ID 连接到节点 B。发生这种情况时，SSL 握手会恢复为完整握手。之后，节点 B 会生成一个新的 SSL 会话 ID。

应用程序负载均衡器

应用程序负载均衡器支持会话 ID 和基于会话令牌的 SSL 会话恢复。系统同时在节点级别支持会话 ID 和会话令牌。例如，假设客户端使用从节点 A 收到的 SSL 会话 ID 或会话令牌连接到节点 B。发生这种情况时，SSL 握手会恢复为完整握手。之后，节点 B 将生成新的 SSL 会话 ID 和会话令牌。

网络负载均衡器

网络负载均衡器仅支持使用会话令牌来恢复会话。在区域级别支持使用会话票证来恢复。客户端可以使用其任何 IP 地址与网络负载均衡器恢复 TLS 会话。