У нас есть десятки тысяч проприетарных устройств, которые общаются через брокер сообщений. Теперь мы хотим, чтобы брокер аутентифицировал устройства с помощью сертификатов SSL / TLS. Я знаю, что мы можем использовать Центр сертификации для подписи сертификатов, и я знаю, что мы можем либо внедрить наш собственный CA с OpenSSL, либо использовать коммерческий сервис, но я не хочу разрабатывать или платить за что-то, если это действительно не нужно.
Мой вопрос - можем ли мы вообще избежать CA? Можем ли мы вместо этого иметь каждое из наших устройств для создания самозаверяющего сертификата, а затем сохранять сертификаты всех устройств в хранилище доверенных корневых сертификатов посредника сообщений?
Брокер использует OpenSSL - может ли он эффективно поддерживать десятки тысяч корневых сертификатов? Как насчет сотен тысяч?