3
우리는 우리가 호스트하는 수십만 개의 도메인을 가지고 있습니다. 우리는 단일 I.P.에 모든 SSL/TLS를 제공하고자합니다. 분명히 SNI을 사용하면이 작업을 수행 할 수 있습니다. 그러나 이는 SSL 종료 서버에서 말 그대로 수십만 개의 인증서를 갖는 것을 의미합니다.SNI 서버의 최대 인증서 수는 얼마입니까?
SNI 서버에 설치할 수있는 인증서 수에 "자연적"또는 "인위적인"제한이 있습니까?
- A "자연"제한을은 같은 수천의 목록에서 인증서를 검색하는 성능으로, 자연에 의해 부과되는
- 에 "인공"제한이 같은 우리를 방해하는 소프트웨어와 같은 인간의 규칙에 의해 부과 너무 많은 certs를 설치하는 것에서, 아마 SNI 프로토콜의 일부 규칙.
.... 또는 다른 문제가 있습니까?
우리는 ~ 100까지 필요한 인증서 수를 SAN 인증서에 묶음으로써 나눌 수 있다고 생각합니다. 그러나이 질문의 목적을 위해 불가능하거나 이미 완료되었으며 수십 개의 수천 개의 인증서를 제공해야합니다.
제한 사항은 무엇입니까? 이게 가능하다고 생각하니?
실제로 SSL 종료를 수행 할 자원에 대한 계획이 있습니까? 예를 들어, 단일 IP 뒤에로드 밸런싱 된 여러 서버를 갖게 되었습니까? 단일 서버가 모든 작업을 수행하지 못할 수도 있습니다. 또한 여러 대의 서버가있는 경우에도 부하 분산 장치가 단일 실패 지점이 될 수 있습니다. 예를 들어 Heroku는 SNI 기반 SSL을 사용하는 고객이 많기 때문에 여러 고객이 하나의 IP 주소를 공유 할 수 있으므로 비용이 절감됩니다. Heroku는 이것을 달성하기 위해 DNS 기반로드 균형 조정을 사용합니다. –
@GabeKopley : 우리는 Elastic Load Balancer에 CDN을 공급하여 N 개의 응용 프로그램 서버에 공급하고 모든 요구에 맞게 확장하는 엔터프라이즈 급 솔루션을 보유하고 있습니다. 현재 단일 지점에서 장애가 발생하지 않았으며 현재 수천 개의 도메인에 서비스를 제공하면서 성능이 문제가되지 않습니다. 이제 모든 트래픽을 암호화 할 차례입니다. –
(전 ELB 전문가가 아닙니다). ELB SNI 구성에 제약이 없다면 L4 ELB 여야하고 모든 LDAP 서버에 모든 인증서를 넣으면 궁금해 할 것입니다. certs 수 있습니다? –