集群中的 Tomcat TLS 会话恢复

Question

TLS 允许通过会话 ID 或会话票据恢复会话。 This post 展示了如何在 Apache Web 服务器和 Nginx 中执行此操作。特别是，Apache 有一个SSLSessionTicketKeyFile directive，它允许 TLS 会话票证通过特定密钥加密，而不是在启动时随机选择的密钥。这在集群中很有用，其中任何集群成员都可以打开由另一个成员通过共享密钥加密的票证。

我在Tomcat TLS documentation 中找不到类似的功能。但是，我发现了一个名为 setTicketKeys 的方法，它似乎完全符合我的要求：

public void setTicketKeys(byte[] keys)
Sets the SSL session ticket keys of this context.
Parameters:
keys - The session ticket keys

我还发现a class from Facebook Nifty 使用了这个功能。

我的问题是：我需要一个OpenSSLSessionContext 的实例来调用setTicketKeys()。我应该如何获得这个实例？

编辑：如果这可以通过配置完成，那就更好了！

Answer 1

这实际上记录在Tomcat documentation 中：主要内容是：

• 仅通过配置无法实现，因为您必须在上下文侦听器上显式设置标志（尽管您也需要配置连接器才能启用该功能！）
• 代理和 SSL 终止当然有一些注意事项（例如，如果 Tomcat 终止 SSL 会话，您将无法继续使用它）
• 不支持 APR 连接器（还没有？），仅支持 NIO(2) 连接器