我有一个使用ssl证书认证的网站。如何强制服务器要求浏览器重新选择要使用的证书呢?这可以用于注销,但这里的用例是切换用户身份。
我记得有一些方法可以将用户引导至具有与当前认证证书不兼容的ssl设置的页面,但找不到正确的设置方法。
我的设置使用了apache mod-ssl,但欢迎提供IIS解决方案。
更新: 我特别询问服务器端:如何在同一主机名下设置一个URL,需要客户端证书但拒绝所有证书。
对于Firefox,javascript:window.crypto.logout();可以使用,用户只需做出轻微的不便(我相信可以通过脚本解决)。
一般情况下这是相当困难的(这也是为什么客户端证书使用对大多数用户来说很繁琐的原因之一)。
从客户端角度看,有一些JavaScript技术,但它们没有得到广泛支持(请参见这个问题)。
使用Apache Tomcat 7,您可以使用请求属性无效化SSL/TLS会话,如此问题所述。
我不知道是否有任何钩子能让您在Apache Httpd(和mod_ssl)中这样做。可用于Apache Httpd的机制(例如mod_php,CGI,FCGI等)通常不能够更改由mod_ssl设置的任何设置或环境变量,这是使会话失效所必需的。
在IIS上,这个问题仍未解答。
从浏览器的角度来看,一般的方法是进入其设置并清除SSL状态(这取决于浏览器,但通常至少需要几个对话框,而不仅仅是一个快速按钮,至少没有插件的情况下是这样)。
从客户端的Web浏览器中,您可以执行以下操作来清除SSL状态:
对于MSIE(Internet Explorer):
转到“工具”>“Internet选项”>“内容”(选项卡)>“清除SSL状态”。
对于Firefox(20版本之前):
选择“工具”>“开始私人浏览”。
然后访问相关页面。或者选择“工具”>“停止私人浏览”,然后...
这样,当您重新加载当前页面时,它将提示您呈现新的客户端证书(如果您有多个来自服务器信任的CA的证书)。否则,如果您只有一个证书,则会使用存储在您的存储中的唯一一个PKI客户端证书。
要退出,请阅读此帖子:https://security.stackexchange.com/questions/36853/is-it-possible-to-force-a-new-ssl-session#
在客户端上,SSL会话通常保存在RAM中。例如,Internet Explorer内部由几个相互通信的进程组成,您必须杀死它们所有才能使其忘记SSL会话(实际上,只有在关闭所有IE窗口时才会发生这种情况)。
另一种方法是使用JavaScript关闭浏览器。
