如何方便优雅的管理 1w+个 HTTPS 证书

……要不用 rust 写一个

caddy on demand tls 完全符合你的应用场景，不需要生成任何证书。再配合 dns 泛解析，用户输入一个域名提交上去，然后就可以直接访问这个域名了，证书会在第一次 tls 握手时根据 sni 自动生成。
https://caddyserver.com/docs/automatic-https#on-demand-tls

常见的几个 cdn 厂都是用的 OpenResty 吧，redis get 你都觉得有性能影响的话，不妨考虑前面再加层 memory cache

那么多域名就一个机器做这事情么？别人都是集群一起上呀

或者说，你那么多域名，就跑一个 nginx 服务？不会多绑定几个 IP 多跑几个 nginx 服务么？每个 nginx 服务绑定不同的 IP

用 caddy 的话，这里有一个支持把证书存储到 s3 上的拓展
https://github.com/ss098/certmagic-s3

新版 nginx 支持动态证书加载吧

Nginx 管控面集群化 + DNS 管理自动化接入。

@privil 你们这群人怎么动不动换语言，不能从系统结构的层面解决问题吗

@wellsc 连 luajit 都觉得性能消耗过大，那么就只能干掉网络 IO 。如果还要再 nginx 上开发，那么就只能上 C/C++/Rust 来开发插件。所以建议 Rust 写一个插件也不算不合适。
毕竟 cf 等企业，很多就是直接用系统语言开发一个插件，然后在 nginx/openresty 的基础上跑起来。

1. 对性能要求非常高的话，可以基于 Kubernetes + Cert Manager 自定义 CRDs 实现一套，可以用自己的任何支持 Kubernetes 的 Web 服务器，但需要自己开发 + 业务适配
2. 追求简单，使用 Caddy ，上面有人贴了我写的 S3 兼容 Storage 接口，支持分布式 Stateless + 多实例部署

简单啊..... 其实用 Openresry 就好了 然后 nodejs 写个检测脚本. 把证书扔到 redis 里面 然后 每晚定点更新就是 还有一个月到期的时候自动更新就好

申请个 ca 自己签名

考虑容器吗，把一万多个客户的入口分散在不同的 pod 下，reload 的时候可能就只有部分，数量取决于你，流量入口 sni 分流，可以不需要证书。
大厂 cdn 也不可能在一台机器上管理所有的域名啊

nginx 前面弄个 L4 的负载均衡，或者用 dns 动态解析弄个负载均衡，这样你就可以多节点 nginx 了。不过每个 nginx 节点还是要配全证书，可能还是有问题。

或许可以用 go 或 rust ，自己写个 L4 的均衡负载，TLS 握手时会先发个 SNI 域名告知后台用哪个域名验证，这时把流量反代到域名对应的 nginx 节点上去，这样 nginx 只需要加载自己的证书就行了。

treadik 可以通过从 consul 读配置

@Buges 这是第三方签了张新证书，而不是用户的证书，如果用户那边配了 CAA ，证书都签不出来。要是用户的客户端做了证书装订之类的东西，你这个实现就把人家服务搞炸了。
况且证书的数量级这个问题还是没解决，go 肯定比 C 慢

@learningman 场景是客户自定义域名，没要求支持客户上传自己的证书吧。
数量应该不是问题，lz 这里慢是因为用 nginx 解析生成的巨大配置文件且启动时加载全部证书。而 caddy on-demand tls 是懒加载的，有连接来了才去申请 /加载缓存中的证书。如果性能还是不够也可以很容易地扩容，因为根本不需要你在配置文件里指定域名和证书。

@Buges
@1423

caddy 的那个确实也看过。但是因为用到了大量的 nginx rewrite rule 。caddy 的适配怎么样。另外不说和 nginx 的 https 性能持平吧，相差能差多少。然后就是如果是客户自己上传的证书能支持吗？ 我都想直接. if https caddy -> localhost:80(nginx)了。

自己搞了一个 go+fasthttp 是 tls.Config{ GetCertificate: func( info clientHello) *tls.Certificate 这个方案。不同域名的证书缓存在内存里. map[domain:string]*tls.Certificate


@Showfom 是集群 nginx 的，每台服务器都是 /etc/nginx/vhosts/certs/1w 个..
@neoblackcap 不光证书，不同域名可能 root 路径也不一样。比如 vip 客户或者定制客户或者尝鲜客户根据域名判断 root 是哪个目录比如. /opt/www/stage-2022/public 、/opt/www/dingzhi-01 ，所以 nginx 配置文件的数量也有很多。当然也有可能是我的 lua 脚本写的太垃圾了。。


@cheng6563
golang 怎么在 4 层获取 SNI 。


@Buges 现在确实是客户自己上传证书，都是独立域名或二级域名的专用这个业务的证书。


@harmless 翻了翻文档没找到，https://nginx.org/en/docs/http/configuring_https_servers.html 。懒加载可以实现一个配置文件 自动从三方存储或定制化存储甚至 rest 接口获取证书吗？

@dzdh caddy 有 API ，也可以写 plugin ，动态加载、自己上传证书当然也没问题。但自动证书能满足大部分需要吧，有特殊需求的客户再让他自己上传证书。
你要是都要自己上传证书且管理的话，可能就不太适合用 caddy/nginx 这些一般的 web 服务器了，应该用自己的后端，证书存数据库里，自己实现懒加载。
性能方面 caddy 确实慢一些，但你不是特别高并发的服务根本不用在意，绝大多数场景都不会成为短板。

@Buges 咋说呢。电商场景，平常也确实没啥事，特殊情况比如 618 天天都是做秒杀抢购的，偶尔一个小时或者十几分钟就是一个陡坡上去了。。。不知道能不能扛得住。还有这个东西我要先自己测，要不然线上流量我都不敢切过来 1%测。