3
我们拥有数十万个我们承载的域名。我们希望为所有人提供SSL/TLS,只需一个I.P.显然,SNI允许我们这样做。但是,这表明在我们的SSL终端服务器上拥有几十个证书。SNI服务器上的最大证书数量?
对SNI服务器上可安装的证书数量有任何“自然”或“人为”的限制吗?
- “自然”的限制被大自然强加的,比如从几千列表搜索一个证书的性能
- “人工”限制是由人的规则,如软件会阻止强加给我们从安装太多的证书,也许在SNI协议中的一些规则。
....或任何你可以想出其他问题吗?
我相信我们可以通过将证书数量绑定到SAN证书中来将证书数量减少100个,但对于这个问题,请假定这是不可能的,或者已经完成了,我们仍然有数十个数以千计的证书可供使用。
有什么限制?你认为这是可能的吗?
您是否有计划实际进行SSL终止的资源?例如,你打算让多个服务器在单个IP后面负载平衡,还是只有一台服务器?单个服务器可能无法执行所有工作。而且,即使您有多个服务器,您的负载平衡器也可能是单点故障。 Heroku例如拥有大量使用基于SNI的SSL的客户,以便多个客户可以共享一个IP地址,从而降低成本。 Heroku使用基于DNS的负载均衡来实现这一点。 –
@GabeKopley:我们有一个企业质量解决方案,涉及到Elastic Load Balancer的CDN馈送,可提供N个应用服务器,可根据需要进行扩展。我们没有单点故障,当前我们为数千个域提供服务,因此性能不成问题。现在是加密所有流量的时候了。 –
(我不是ELB的专家)。如果你不受ELB SNI配置的约束,我想它必须是L4 ELB,并且你有终端服务器,并且你想知道,如果你把所有的终端服务器上的所有证书,最大数量的证书可能是? –