我的物联网公司希望使用客户端证书身份validation来保护每个“事物”和中央服务器之间的通信。 我们每年部署大约3万件事情,而且他们有5年左右的生命周期,所以我们的服务器端解决scheme需要能够一次支持150到200K个证书。 从阅读和提出其他问题来看,似乎最好的解决scheme是EJBCA ,这个解决scheme似乎相当好,但我也看到haproxy(理论上)也有能力做到这一点。
我的问题是 :haproxy如何扩展以处理大量的客户端证书和连接?
每年发放3万张证书非常低,平均每小时less于5张。 任何CA都会支持这一点。
如果你担心工作负担,你需要考虑你的撤销策略。 您需要回答的问题包括:
1)你打算支持证书撤销吗?
2)客户是要检查它还是只有服务器?
3)你打算发行CRL还是使用OCSP?
4)如果你使用CRL,它们会有多大(每年要撤销多less个证书)?