Quão bem haproxy escala para lidar com autenticação de certificado de cliente?

4

Minha empresa de IoT gostaria de usar a autenticação de certificado de cliente para proteger as comunicações entre cada "coisa" e um servidor central. Implementamos cerca de 30 mil itens por ano, e eles têm cerca de 5 anos de duração, portanto, nossa solução do lado do servidor precisa ser capaz de suportar certificados de 150 a 200 mil por vez. Da leitura e da pergunta outras perguntas , parece que a melhor solução da categoria é EJBCA , que parece ter um bom desempenho, mas também vejo que o haproxy (teoricamente) tem a capacidade de fazê-lo também.

A minha pergunta é esta : até que ponto o haproxy escala para lidar com um grande número de certs e conexões de clientes?

    
por AnodeCathode 09.12.2015 / 16:23

1 resposta

1

A emissão de certificados 30K por ano é muito baixa, menos de uma média de 5 a cada hora. Qualquer autoridade de certificação suportará isso.

Se você está preocupado com a carga de trabalho, precisa considerar sua estratégia de revogação. As perguntas que você precisa responder incluem:

1) Você vai apoiar a revogação de certificados?

2) Os clientes vão verificar ou apenas os servidores?

3) Você vai emitir CRLs ou usar um OCSP?

4) Se você usar CRLs, qual será o tamanho (quantos certificados você vai revogar por ano)?

    
por 13.04.2016 / 09:04