Tenemos varios servidores en nuestro DMZ. Algunos de ellos están detrás de los balanceadores de carga (pero solo unos pocos). También tenemos dispositivos de visibilidad BlueCoat SSL actualmente implementados en modo de toque pasivo (obtenemos la copia de tráfico entrante y saliente a través de SPAN): en este modo solo podríamos descifrar RSA pero no tráfico DH.
Estamos buscando una forma de conectarse para poder descifrar todo el tráfico, independientemente de si se trata de RSA o DH. Una opción que vemos es poner el SSL VA en línea y hacer uso de HSM para la gestión de certificados. ¿Qué otras opciones hay? ¿Podría por favor aconsejar?