我们正在build立一个系统,我们必须将OpenVPN密钥列入黑名单。 因此,问题是:OpenVPNalgorithm的黑名单键计算有效? 在OpenVPN需要太多的资源来接受新连接/重新validation现有的密钥之前,我可以安全地撤销多less个密钥?
我记得,当你使用证书吊销列表(CRL)时,会在连接时检查每个连接的客户端,并在每次TLS / SSL连接重新协商(我相信是每小时一次)时检查它。 基于此,我猜想你必须有相当数量的证书被列入黑名单,否则这可能会成为一个问题。
考虑一下,如果你有两千个客户端连接,每分钟连接/断开连接速率为50个客户端连接(这些数字纯粹是一个例子,但是故意高于大多数人会看到的),那么你会检查CRL约为每小时5000次。 在一个现代的服务器上,我想像OpenVPN可以在5秒钟内完成5000次检查,即使有相当数量的证书被列入黑名单。
我还没有看到或听说有人对此进行过基准testing,所以实际的testing可能是您肯定知道的唯一方法。 我绝对build议build立一个testing环境,以编程方式生成几千(或更多)的证书,然后撤销大部分的证书。 然后连接一些testing客户端,看看服务器如何处理它。 我希望OpenVPN甚至不会眨眼,但它可能是值得validation的。
我相信CRL中没有encryption,只是将客户端的数据与列表进行比较。 应该是非常非常快
当然只有一种方法可以肯定…