haproxy 在处理客户端证书认证方面表现如何?

haproxy 在处理客户端证书认证方面表现如何?

由于这是一个关于安全问题的基于性能的问题,信息安全部门的一些人建议我在这里发布:

我的 IoT 公司希望使用客户端证书身份验证来保护每个“事物”与中央服务器之间的通信。我们每年部署大约 3 万个事物,它们的使用寿命约为 5 年,因此我们的服务器端解决方案保守地需要能够一次支持 15 万到 20 万个证书。通过阅读和询问其他问题,看起来最好的解决方案是扩展数据库连接协议,看起来扩展性很好,但我还看到 haproxy(理论上)也有能力做到这一点。

我的问题是:haproxy 如何很好地处理大量客户端证书和连接?

答案1

为了消除可能存在的误解,这对于了解公钥/私钥对的人来说非常受欢迎。证书不仅仅是一个公钥。即使您在与您通信的设备上拥有 30000 个不同的私钥,您也不需要 30000 个公钥。或者 30000 个任何东西。你只需要 1 个。加密签名的美妙之处在于,当您只知道一个证书(称为 CA 证书)时,您可以验证大量私钥,你甚至没有他们的所有公钥

有时会有更多的 CA 证书,以允许长期迁移/升级、与外部系统兼容等,但理论上一个就足够了。

在这种情况下,该问题的实际答案是:haproxy 在您的环境中将具有极好的扩展性,其他任何软件也是如此。只要您只使用几个 CA 证书,您就不会注意到 haproxy 验证 30 个私钥、30k 个私钥或 300k 个私钥有任何区别。

相关内容