3
我們擁有數十萬個我們承載的域名。我們希望爲所有人提供SSL/TLS,只需一個I.P.顯然,SNI允許我們這樣做。但是,這表明在我們的SSL終端服務器上擁有幾十個證書。SNI服務器上的最大證書數量?
對SNI服務器上可安裝的證書數量有任何「自然」或「人爲」的限制嗎?
- 「自然」的限制被大自然強加的,比如從幾千列表搜索一個證書的性能
- 「人工」限制是由人的規則,如軟件會阻止強加給我們從安裝太多的證書,也許在SNI協議中的一些規則。
....或任何你可以想出其他問題嗎?
我相信我們可以通過將證書數量綁定到SAN證書中來將證書數量減少100個,但對於這個問題,請假定這是不可能的,或者已經完成了,我們仍然有數十個數以千計的證書可供使用。
有什麼限制?你認爲這是可能的嗎?
您是否有計劃實際進行SSL終止的資源?例如,你打算讓多個服務器在單個IP後面負載平衡,還是隻有一臺服務器?單個服務器可能無法執行所有工作。而且,即使您有多個服務器,您的負載平衡器也可能是單點故障。 Heroku例如擁有大量使用基於SNI的SSL的客戶,以便多個客戶可以共享一個IP地址,從而降低成本。 Heroku使用基於DNS的負載均衡來實現這一點。 –
@GabeKopley:我們有一個企業質量解決方案,涉及到Elastic Load Balancer的CDN饋送,可提供N個應用服務器,可根據需要進行擴展。我們沒有單點故障,當前我們爲數千個域提供服務,因此性能不成問題。現在是加密所有流量的時候了。 –
(我不是ELB的專家)。如果你不受ELB SNI配置的約束,我想它必須是L4 ELB,並且你有終端服務器,並且你想知道,如果你把所有的終端服務器上的所有證書,最大數量的證書可能是? –