haproxy 在处理客户端证书认证方面表现如何?

tag-icon tag-icon authentication certificate proxy
haproxy 在处理客户端证书认证方面表现如何?

我的 IoT 公司希望使用客户端证书身份验证来保护每个“事物”与中央服务器之间的通信。我们每年部署大约 3 万个事物,它们的使用寿命约为 5 年,因此我们的服务器端解决方案需要能够同时支持 15 万到 20 万个证书。通过阅读和询问其他问题,看起来最好的解决方案是扩展数据库连接协议,其扩展性似乎相当好,但我还看到 haproxy(理论上)也有能力做到这一点。

我的问题是:haproxy 如何很好地处理大量客户端证书和连接?

答案1

每年颁发 30K 个证书的数量非常少,平均每小时不到 5 个。任何 CA 都会支持这一点。

如果您担心工作量,则需要考虑撤销策略。您需要回答的问题包括:

1)您是否支持证书撤销?

2)客户端会检查它还是只有服务器会检查?

3) 您要颁发 CRL 还是使用 OCSP?

4) 如果您使用 CRL,那么它们会有多大(每年您要撤销多少个证书)?

相关内容