Sé que podemos usar el protocolo TLS para crear una conexión segura entre un servidor y un cliente. Mi pregunta es: los certificados, que se usan en TLS, son únicos para cada conexión (par). p.ej. en un centro de datos con miles de switches y hosts, ¿las conexiones seguras entre un controlador principal y los dispositivos (como el controlador SDN y los dispositivos hacia el sur) ocurrirán con miles de certificados? ¿O usar un certificado (o un par? "No sé") en toda la red o una parte de ella?
Un certificado sirve para identificar un punto final de conexión, como un dispositivo o usuario. Cualquiera de las computadoras cliente puede verificar que el certificado raíz de la empresa haya firmado un certificado de servidor, lo que puede asegurarles que se conecten a un punto final confiable y genuino. Entonces, cada servidor necesita solo un certificado.
Del mismo modo, el certificado de cliente (opcional) se emite a una máquina o usuario. El servidor puede validar que el cliente es quien dice ser; Además, el servidor puede leer un valor del campo Nombre distinguido en el certificado para determinar la identidad del cliente.
Entonces, al usar certificados para la autenticación, no es necesario establecer un par de certificados entre cada par de puntos finales en comunicación. Solo necesita un certificado para cada servidor y (opcionalmente) uno para cada cliente.
Aparte de lo que Steffen ya respondió, especialmente
Entonces, al usar certificados para la autenticación, no es necesario establecer un par de certificados entre cada par de puntos finales en comunicación. Solo necesita un certificado para cada servidor y (opcionalmente) uno para cada cliente.
y
Por lo tanto, cada servidor necesita solo un certificado.
hay otra parte de su pregunta que me gustaría abordar:
Está preguntando si hay miles de conexiones con seguridad TLS dentro de los centros de datos y si todas utilizan certificados únicos. La respuesta generalmente es "sí" para los centros de datos de propósito general donde todos pueden estar alojados conjuntamente y la red dentro del centro de datos no se considera segura.
Sin embargo, en los centros de datos que son exclusivos para una empresa que tiene que hacer frente a muchas solicitudes, por lo general existen los llamados https proxies que se dedican a descifrar la conexión https de Internet, úselo sin cifrado dentro de la red (segura) en el centro de datos y luego envuelva la respuesta en TLS.
Esto se realiza principalmente por razones de rendimiento y depuración, por lo que un conjunto de máquinas puede utilizar un solo certificado con un solo nombre de host, lo que lo hace más resistente a los problemas, más rápido y más confiable, así como más fácil de modificar.
Tenga en cuenta que si bien esta no es la forma en que se debe usar el TLS, en realidad no interfiere con las propiedades que garantiza un certificado TLS: sigue siendo la misma entidad y solo esa entidad (la gran empresa) que puede echar un vistazo a su tráfico.
Lea otras preguntas en las etiquetas tls certificates