硬件SSL结构设计

　　首先为什么要使用SSL来加密呢，干脆用WS-Security就好了，而且WS-Security有着很多SSL所无法做到的特性(不基于传输层，保障非点对点的安全传输，部分加密等等)。但是在前面的压力测试中明显可以看到还没有用到加密，仅仅是签名服务器的CPU消耗就成倍的增长，可见对于性能的影响。同时上面提到的应用服务器SSL，其实也是类似于WS-Security，消耗比较大。因此就提出了硬件SSL的设计。

　　这里主要提了两种，第二种也是现在SA比较推荐的。

　　一. 为应用服务器增加独立的SSL加速卡，例如roadcom CryptoNetXM卡，SSL加速卡的作用在于能够将应用服务器处理SSL的工作独立完成，让应用服务器专心处理应用请求，使得应用服务器性能不受影响。

　
　　图 SSL加速卡部署图

　　由于许多服务器使用的是不同的加密数据，因此管理这样一个Web服务器组会花费比较大并且复杂。同时传统的负载均衡阵列中每一个处理加密服务器要求有一个SSL加速卡和数字证书，而证书是被CA签署过的一个电子认证标识，在加密通信方面提供了一致性的验证，这样对于CA的电子认证标识管理也是很复杂的一件事，因此产生了第二种设计模式。

　　二. 将SSL基础结构与BIG-IP结合

　　BIG-IP是一个运行有BIG-IP负载均衡软件的服务器，它通过SSL加速卡实现了SSL的off-loading，同时还可以实现应用层和IP层的负载均衡。通过SSL终结，前端的BIG-IP负责SSL的集中处理以及同时将处理后的请求负载均衡到各个应用服务器上，这样既降低了SSL证书管理成本，也减少了Web服务器组的管理复杂性。