Моя компания, занимающаяся IoT, хотела бы использовать аутентификацию сертификата клиента для защиты связи между каждой «вещью» и центральным сервером. Мы развертываем около 30 тысяч объектов в год, а срок их службы составляет около 5 лет, поэтому наше серверное решение должно поддерживать 150-200 тысяч сертификатов одновременно. Читая и спрашивая другие вопросы, похоже, лучшее решение - EJBCA, который, кажется, неплохо масштабируется, но я также вижу, что haproxy (теоретически) тоже может это делать.
У меня такой вопрос: насколько хорошо haproxy масштабируется для обработки большого количества клиентских сертификатов и подключений?
Выдавать 30 тыс. Сертификатов в год - это очень мало, в среднем менее 5 сертификатов в час. Любой центр сертификации поддержит это.
Если вас беспокоит рабочая нагрузка, вам необходимо подумать о своей стратегии отзыва. Вам необходимо ответить на следующие вопросы:
1) Собираетесь ли вы поддерживать отзыв сертификата?
2) Будут проверять клиенты или только серверы?
3) Собираетесь ли вы выпускать списки отзыва сертификатов или использовать OCSP?
4) Если вы используете списки отзыва сертификатов, насколько они будут большими (сколько сертификатов вы собираетесь отзывать в год)?