证书查询方法、装置、设备及计算机可读存储介质与流程

本申请涉及通信技术领域，特别涉及一种证书查询方法、装置、设备及计算机可读存储介质。

背景技术：

在一些安全性要求比较高的应用(比如互联网支付业务)中，服务器需要校验客户端的证书，以确认客户端是否有效，参见图1所示的证书校验示意图，该证书校验工作可以由后端服务器前置的反向代理服务器实现。

对于需要校验客户端证书的场景，主要是通过基于证书吊销列表(certificaterevocationlist，简称crl)的校验方式来实现。参见图2所示的实现证书校验的网络架构示意图，其工作原理为：

反向代理服务器需预先存储各个(certificateauthority，简称ca)机构发布的crl吊销列表，或者定期从ca站点下载更新crl吊销列表，作为检查证书状态的一个依据。基于此，当客户端发起连接请求时，首先进行安全套接字协议(securesocketslayer，简称ssl)/安全传输层协议(transportlayersecurity，简称tls)握手，在此过程中，反向代理服务器要向客户端发送证书请求，客户端收到证书请求后，向反向代理服务器发送客户端证书。在反向代理服务器接收到客户端证书后，从客户端证书中解析出证书序列号，并查找crl吊销列表。如果在crl吊销列表中查到该证书序列号，则拒绝客户端请求，连接终止；反之，如果没有查到该证书序列号，则校验通过，继续进行后续处理。

但是，在上述证书校验过程中，反向代理服务器使用的crl数量可能会非常庞大，做不到实时更新，使得crl数据可能不准确，然而，当crl数据不准确时，可能会带来客户端证书校验的疏漏，从而导致证书状态查询结果的不准确，存在安全隐患。

技术实现要素：

有鉴于此，本申请提供了一种证书查询方法、装置、设备及计算机可读存储介质，提高了证书状态查询结果的准确性。

具体地，本申请是通过如下技术方案实现的：

一种证书查询方法，所述方法应用于一种网络设备，所述方法包括：

获取目标客户端的证书信息；

生成携带所述证书信息的在线证书状态协议ocsp查询报文；

将所述ocsp查询报文发送给至少一个查询服务器，其中，所述查询服务器用于基于接收的ocsp查询报文查询所述目标客户端的证书状态，并生成携带所述证书状态的响应报文；

根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态。

一种证书查询装置，所述装置应用于一种网络设备，所述装置包括：

证书获取单元，用于获取目标客户端的证书信息；

报文生成单元，用于生成携带所述证书信息的在线证书状态协议ocsp查询报文；

证书查询单元，用于将所述ocsp查询报文发送给至少一个查询服务器，其中，所述查询服务器用于基于接收的ocsp查询报文查询所述目标客户端的证书状态，并生成携带所述证书状态的响应报文；

证书确定单元，用于根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态。

一种电子设备，包括：处理器、存储器；

所述存储器，用于存储计算机程序；

所述处理器，用于通过调用所述计算机程序，执行上述证书查询方法。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述证书查询方法。

在以上本申请提供的技术方案中，当获取到目标客户端的证书信息时，可以生成携带该证书信息的ocsp查询报文；然后，将ocsp查询报文发送给至少一个查询服务器，以便查询服务器基于接收的ocsp查询报文进行ocsp查询，并生成携带目标客户端的证书状态的响应报文；最后，基于一个或多个查询服务器返回的响应报文，确定目标客户端的证书状态。可见，本申请采用ocsp查询方式，实时查询客户端的证书状态，查询结果更准确，降低了安全隐患。

附图说明

图1为本申请示出的证书校验示意图；

图2为本申请示出的实现证书校验的网络架构示意图；

图3为本申请示出的一种证书查询方法的流程示意图；

图4为本申请示出的网络设备的组成示意图；

图5为本申请示出的一种证书查询装置的组成示意图；

图6为本申请示出的一种电子设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在介绍本申请实施例之前，首先对本申请实施例涉及的技术术语进行介绍。

https：全称是hypertexttransferprotocoloversecuresocketlayer。https是以安全为目标的超文本传输协议(hypertexttransferprotocol，简称http)通道，在http的基础上通过传输加密和身份认证保证了传输过程的安全性。https在http的基础下加入ssl层，https的安全基础是ssl，因此加密的详细内容就需要ssl。https存在不同于http的默认端口及一个加密/身份验证层(在http与tcp之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。

tls：安全传输层协议(transportlayersecurity，简称tls)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成：tls记录协议(tlsrecord)和tls握手协议(tlshandshake)。位于应用层和传输层之间，它可以为任何基于tcp等可靠连接的应用层协议提供安全性保证。

ssl：安全套接字协议(securesocketslayer)，与其继任者tls，是为网络通信提供安全及数据完整性的一种安全协议。

反向代理：反向代理服务器位于用户与目标服务器之间，但对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。反向代理服务器通常可用来作为web加速，即使用反向代理作为web服务器的前置机来降低网络和服务器的负载，提高访问效率。

crl：证书吊销列表(certificaterevocationlist，简称crl)是在网络中使用公钥结构存取服务器的两种常用方法中的一个。

ocsp：在线证书状态协议(onlinecertificatestatusprotocol，简称ocsp)是一个用于获取x.509数字证书撤销状态的网际协议，在rfc6960中定义，作为证书吊销列表(crl)的替代品解决了在公开密钥基础建设(pki)中使用证书吊销列表而带来的多个问题。协议数据传输过程中使用asn.1编码，并通常创建在http协议上，此消息类型分为“请求消息”和“响应消息”，因此致ocsp服务器被称为“ocsp响应端”。

本申请实施例提供了一种证书查询方法，具体是一种客户端证书的ocsp查询方法，该方法采用ocsp查询方式实时查询客户端证书状态，与现有技术相比，查询结果更准确，降低了安全隐患。

图3为本申请实施例提供的一种证书查询方法的流程示意图，该方法应用于一种网络设备，即，该方法的执行主体是该网络设备，该网络设备通过与客户端以及至少一个查询服务器进行通信，实现对该客户端证书状态的准确查询。需要说明的是，本申请实施例不对该网络设备的设备类型进行限定，例如，该网络设备可以是图2所示的反向代理服务器或其它类型设备。

如图3所示，本申请实施例提供的证书查询方法，可以包括以下步骤s301-s304：

s301：获取目标客户端的证书信息。

在本申请实施例中，当某客户端与网络设备(比如图2所示反向代理服务器)的传输控制协议(transmissioncontrolprotocol，简称tcp)连接完成时，会建立该客户端的客户端会话。此外，如果该客户端的访问业务是超文本传输安全协议(hypertexttransferprotocoloversecuresocketlayer，简称https)业务，则进入ssl/tls握手阶段，在此阶段，网络设备需要等待接收该客户端发送的证书，具体实现时，该客户端可以向网络设备发送携带证书信息的证书报文，也就是说，该证书报文中携带了该客户端的证书信息，该客户端的证书信息可以包括证书序列号、证书颁发者信息等证书相关信息。基于此，当网络设备接收到该客户端的证书报文时，可以从中解析出该客户端的证书信息。

进一步地，在该客户端所发送的证书报文中，除了携带该客户端的证书信息以外，还可以携带一个或多个统一资源标识符(uniformresourceidentifier，简称uri)，对于每一uri来讲，该uri是用于ocsp查询的一个查询服务器的uri，可见，基于该客户端发送的证书报文，网络设备不但可以从中解析出该客户端的证书信息，还可以解析出uri信息。此外，还可以解析出tcp连接的五元组信息(包括证书报文的源ip、目的ip、协议、源端口、目的端口)。需要说明的是，uri信息以及五元组信息的具体应用将在后续步骤中介绍。

在本申请实施例的一种实现方式中，s301中的“获取目标客户端的证书信息”，可以包括：若本地ocsp请求队列中存在查询请求，则依次从本地ocsp请求队列中取出每一个查询请求，将当前取出的查询请求作为目标查询请求，其中，目标查询请求中携带了目标客户端的证书信息；然后，从目标查询请求中获取目标客户端的证书信息。

在本实现方式中，如前述内容所述，对于每一客户端来讲，网络设备可以从该客户端发送的证书报文中解析出该客户端的证书信息，因此，可以生成携带该证书信息的查询请求，另外，该查询请求中还可以进一步携带解析出的uri信息和/或五元组信息。然后，将属于该客户端的查询请求加入本地ocsp请求队列中，可见，通过这种方式，本地ocsp请求队列中可以不断获取查询请求。

在网络设备的运行过程中，可以循环查询该ocsp请求队列，当该ocsp请求队列中存在一个或多个查询请求时，便可以依次取出每一查询请求，对于当前取出的查询请求，为便于与其它客户端区分，可以将当前取出的查询请求所属的客户端定义为目标客户端，由于该查询请求中携带有目标客户端的证书信息，因此，可以从该查询请求中获取到目标客户端的证书信息。

进一步地，本申请实施例还可以包括：当在本地ocsp请求队列中形成目标客户端的查询请求后，使目标客户端与网络设备之间的连接请求校验通过，并将目标客户端的会话标记设置为阻塞标记；其中，阻塞标记用于阻塞网络设备、与目标客户端所要访问的后端服务器之间的连接。

具体来讲，当从目标客户端的证书报文中解析出的信息被加入本地ocsp请求队列后，考虑到大多数正常业务连接都是证书有效状态，因此，当对目标客户端证书进行ocsp校验时，可以先将其按照校验通过处理，并继续完成后续ssl/tls握手过程，ssl/tls握手与后续介绍的ocsp查询并行执行，这种异步执行方式，可以有效节省ocsp查询所造成的时间浪费。此外，需要将目标客户端请求对应的会话标记设置为阻塞标记，比如标记“ocsp-pend”，用于阻塞网络设备与目标客户端所要访问的后端服务器建立连接，该阻塞标记的具体用途将在后续步骤中介绍。其中，目标客户端所要访问的后端服务器，可以通过解析出的五元组信息获知。

参见图4所示的网络设备的组成示意图，该网络设备可以包括配置管理模块、连接管理模块和ocsp查询处理模块。其中，上述客户端的连接处理、报文解析、将报文解析信息加入本地ocsp请求队列、阻塞标记的设置等功能，可以由连接管理模块实现；上述从本地ocsp请求队列获取证书信息的功能可以由ocsp查询处理模块实现。

s302：生成携带证书信息的ocsp查询报文。

在本申请实施例中，当通过s301获取到目标客户端的证书信息后，需要生成携带该证书信息的ocsp查询报文，以便利用该ocsp查询报文对目标客户端的证书状态进行查询。具体的，在生成ocsp查询报文时，可以在ocsp查询报文中填写目标客户端的证书信息，该证书信息可以包括证书序列号、证书颁发者等信息。

其中，s302可以由图4所示的ocsp查询处理模块实现。

s303：将ocsp查询报文发送给至少一个查询服务器，其中，查询服务器用于基于接收的ocsp查询报文查询目标客户端的证书状态，并生成携带该证书状态的响应报文。

在本申请实施例中，可以预先手动配置一个或多个uri，用作ocsp查询的查询服务器，每一uri对应一个查询服务器，该uri配置功能可以由图4所示的配置管理模块实现；此外，参见s301的相关介绍可知，还可以从目标客户端的证书报文中解析出查询服务器的uri。基于此，可以从手动配置的uri以及解析出的uri中，选择一个或多个uri，并将ocsp查询报文发送给这些uri进行ocsp查询，以实现对目标客户端的证书状态的一路或多路查询。

在本申请实施例的一种实现方式中，s303中的“将ocsp查询报文发送给至少一个查询服务器”，可以包括：按照预先配置的uri优先级，确定用于ocsp查询的至少一个查询服务器的uri；向确定的每一uri发送ocsp查询报文。

在本实现方式中，当存在手动配置的一个或多个uri、和/或存在解析出的一个或多个uri时，按照预先配置的uri优先级(该优先级配置功能可以由图4所示的配置管理模块实现)，从这些uri中选择一个或多个uri，并将ocsp查询报文发送给所选择的每一uri。其中，手动配置的uri可以从图4所示的配置管理模块获取，解析出的uri可以从本地ocsp请求队列中获取。

关于uri优先级的配置结果，可以选择以下三种配置结果之一：

配置1：将从目标客户端的证书报文中解析出的uri作为第一优先级；将预先配置的uri作为第二优先级；将其它方式获取的uri作为其它优先级。

配置2：将预先配置的uri作为第一优先级；将从目标客户端的证书报文中解析出的uri作为第二优先级；将其它方式获取的uri作为其它优先级。

配置3：将从目标客户端的证书报文中解析出的uri与预先配置的uri，均作为第一优先级；将其它方式获取的uri作为其它优先级。

其中，目标客户端的证书报文，是目标客户端向网络设备发送的携带证书信息的报文(参见s301的相关介绍)。

当uri优先级的配置结果中包括多个优先级时，可以只选择第一优先级的uri；或者，选择两个或两个以上级别的uri；或者，将各个uri按照优先级进行排序，选择排序在前的n(n≥1)个uri。然后，将ocsp查询报文发送给选择的每一uri。

进一步地，在本申请实施例中，在构造ocsp查询报文时，除了在ocsp查询报文中填写目标客户端的证书信息，还可以在ocsp查询报文中填写所选择的每一uri(比如按照上述uri优先级进行选择的uri)，当选择了m(m≥1)个uri时，则可以构造m个ocsp查询报文、且不同ocsp查询报文对应不同的uri，这样，可以将每一ocsp查询报文发送给对应的uri。

关于s303的具体实现方式中的“向确定的每一uri发送ocsp查询报文”，可以包括：分别从不同的公网链路，向确定的每一uri发送ocsp查询报文。

具体来讲，可以预先将网络设备接入多个公网链路接口，例如，网络设备的接口1接入电信、网络设备的接口2接入联通、网络设备的接口3接入移动，并预先在网络设备的接口列表中进行网络设备与公网之间的接口配置，其中，该接口配置功能可以由图4所示的配置管理模块实现。基于此，假设预配置的接口列表中共有n(n≥1)个接口，则对于选择的m个uri，可以为每个uri创建n个网络通信套接字，分别绑定不同的接口，共m*n个套接字，即，每个接口绑定了m个套接字，这样，对于每个接口来讲，可以利用其m个套接字，具体可以通过遍历这m个套接字，从该接口向对应的公网链路发送m个ocsp查询报文，其中，从不同公网发送查询报文的功能可以由图4所示的ocsp查询处理模块实现。

s304：根据至少一个查询服务器返回的响应报文，确定目标客户端的证书状态。

在本申请实施例中，可以通过向一个或多个uri发送查询报文，以利用一个或多个查询服务器对目标客户端的证书状态进行ocsp查询，查询服务器可以将查询得到的证书状态以响应报文的方式，返回给网络设备。若返回一个响应报文，则将该响应报文的证书状态作为目标客户端的证书状态；若返回两个或两个以上个响应报文，则从中选择一个响应报文，并将该响应报文的证书状态作为目标客户端的证书状态。

在本申请实施例的一种实现方式中，s304中的“根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态”，可以包括：在预设的查询超时时间内，若接收到至少一个查询服务器返回的响应报文，则将第一个返回的响应报文所携带的证书状态，作为所述目标客户端的证书状态。

在本实现方式中，可以预先配置一个查询超时时间t，该查询超时时间t的配置功能可以由图4所示的配置管理模块实现。如上述内容可知，当存在n个接口和m个ocsp查询报文时，每个接口需要发送m个ocsp查询报文，共发出m*n个ocsp查询报文；可以在查询超时时间t内，等待接收每一ocsp查询报文对应的响应报文，待查询超时时间t后，便不再接收响应报文；若接收到g(g≤m*n)个响应报文，可以将第一个返回的响应报文所携带的证书状态，作为目标客户端证书的证书状态；若在查询超时时间t内未接收到任何响应报文，则认为查询失败。并且，关闭所有套接字。

可以理解的是，同时从多个公网链路发送ocsp查询报文，可以优化不同运营商的网络质量造成的访问时长差异，当以最先返回的响应报文携带的证书状态为ocsp查询结果时，有效降低了ocsp查询的响应时间；此外，同时向多个uri发送ocsp查询报文时，当以最先返回的响应报文携带的证书状态为ocsp查询结果时，有效降低了ocsp查询的响应时间。然而，当同时采用多公网链路与多uri结合的方式时，可以进一步降低ocsp查询的响应时间。

在本申请实施例中，目标客户端的证书状态可以为正常、或吊销、或未知。

进一步地，本申请实施例还可以包括：若目标客户端的证书状态为未知、或证书状态查询失败，则根据预设的状态配置方式，将目标客户端的证书状态设定为正常或吊销。

具体来讲，可以预先配置“查询失败”、“证书状态为未知”时的证书状态，可以配置为正常或吊销，该配置功能可以由图4所示的配置管理模块实现；基于此，当通过s304确定目标客户端的证书状态为未知、或当证书状态查询失败时，将目标客户端的证书状态设定为正常或吊销，该状态设定功能可以由图4所示的ocsp查询处理模块实现。

进一步地，本申请实施例还可以包括：检测目标客户端的会话标记；若目标客户端的会话标记为阻塞标记，则不向目标客户端所要访问的后端服务器发送连接请求；若目标客户端的会话标记表示目标客户端的证书状态为正常，则向目标客户端所访问的后端服务器发送连接请求；若目标客户端的会话标记表示目标客户端的证书状态为吊销，则使网络设备与目标客户端断开连接。

具体来讲，可以根据目标客户端的会话五元组，在会话表中查找到对应的会话，通过查询会话可知目标客户端的证书状态为正常或吊销，如果目标客户端的证书状态为正常，则将其会话标记设置为ocsp-ok，如果目标客户端的证书状态为吊销，则将其会话标记设置为ocsp-revork。其中，该设置功能可以由图4所示的ocsp查询处理模块实现。这样，对于每一客户端的证书状态，均可以有其对应的会话标记。

当网络设备开启了重传定时器后，会定时每隔预设时间(比如每隔100毫秒)检查一次各个客户端的会话标记。对于目标客户端来讲，如果其会话标记是阻塞标记ocsp-pend，则网络设备不向目标客户端所访问的后端服务器发送tcp连接请求；如果其会话标记是ocsp-revork，则网络设备向目标客户端发送tcprst报文中断连接请求；如果其会话标记是ocsp-ok，则网络设备向目标客户端所访问的后端服务端发送tcp连接请求，使网络设备与后端服务器的连接正常建立，此时，目标客户端与网络设备之间、网络设备与后端服务器之间的连接均建立完成，目标客户端与后端服务器双方可以通信。其中，此功能可以由图4所示的连接管理模块实现。

在以上本申请实施例提供的证书查询方法中，当获取到目标客户端的证书信息时，可以生成携带该证书信息的ocsp查询报文；然后，将ocsp查询报文发送给至少一个查询服务器，以便查询服务器基于接收的ocsp查询报文进行ocsp查询，并生成携带目标客户端的证书状态的响应报文；最后，基于一个或多个查询服务器返回的响应报文，确定目标客户端的证书状态。可见，本申请实施例采用ocsp查询方式，实时查询客户端的证书状态，查询结果更准确，降低了安全隐患。

而且，与现有技术相比，本申请实施例的网络设备，不占用定期下载、存储crl吊销列表所造成的存储资源、cpu资源开销，降低了资源消耗；而且，本申请实施例可以采用多公网链路和/或多uri的多路径查询方式，可以有效降低ocsp查询的响应时间；此外，由于每个连接请求都要做ocsp在线查询，本申请实施例将ocsp查询与连接请求管理分开执行，不用等待，可以持续接收每一个连接请求，增大了并发量，减少了ocsp实时查询造成的并发性能损失。

参见图5，为本申请实施例提供的一种证书查询装置的组成示意图，该装置应用于一种网络设备，该装置可以包括：

证书获取单元510，用于获取目标客户端的证书信息；

报文生成单元520，用于生成携带所述证书信息的在线证书状态协议ocsp查询报文；

证书查询单元530，用于将所述ocsp查询报文发送给至少一个查询服务器，其中，所述查询服务器用于基于接收的ocsp查询报文查询所述目标客户端的证书状态，并生成携带所述证书状态的响应报文；

证书确定单元540，用于根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态。

在本申请实施例的一种实现方式中，证书获取单元510，具体用于：

若本地ocsp请求队列中存在查询请求，则依次从所述本地ocsp请求队列中取出每一个查询请求，将当前取出的查询请求作为目标查询请求，其中，所述目标查询请求中携带了目标客户端的证书信息；

从所述目标查询请求中获取所述目标客户端的证书信息。

在本申请实施例的一种实现方式中，证书查询单元530，具体用于：

按照预先配置的统一资源标识符uri优先级，确定用于ocsp查询的至少一个查询服务器的uri；

向确定的每一uri发送所述ocsp查询报文。

在本申请实施例的一种实现方式中，所述uri优先级的配置结果，包括：

将从证书报文中解析出的uri作为第一优先级，其中，所述证书报文是所述目标客户端向所述网络设备发送的携带所述证书信息的报文；

或者，将预先配置的uri作为第一优先级；

或者，将从证书报文中解析出的uri与预先配置的uri，均作为第一优先级。

在本申请实施例的一种实现方式中，证书查询单元530在向确定的每一uri发送所述ocsp查询报文时，具体用于：

分别从不同的公网链路，向确定的每一uri发送所述ocsp查询报文。

在本申请实施例的一种实现方式中，证书确定单元540，具体用于：

在预设的查询超时时间内，若接收到至少一个查询服务器返回的响应报文，则将第一个返回的响应报文所携带的证书状态，作为所述目标客户端的证书状态。

在本申请实施例的一种实现方式中，所述目标客户端的证书状态为正常、或吊销、或未知；所述装置还包括：

状态设定单元，用于若所述目标客户端的证书状态为未知、或未接收任一查询服务器返回的响应报文，则根据预设的状态配置方式，将所述目标客户端的证书状态设定为正常或吊销。

在本申请实施例的一种实现方式中，所述装置还包括：

校验通过单元，用于述目标客户端与所述网络设备之间的连接请求校验通过，并将所述目标客户端的会话标记设置为阻塞标记；其中，所述阻塞标记用于阻塞所述网络设备、与所述目标客户端所要访问的后端服务器之间的连接。

在本申请实施例的一种实现方式中，所述装置还包括连接请求单元，用于：

检测所述目标客户端的会话标记；

若所述目标客户端的会话标记为所述阻塞标记，则不向所述目标客户端所要访问的后端服务器发送连接请求；

若所述目标客户端的会话标记表示所述目标客户端的证书状态为正常，则向所述目标客户端所访问的后端服务器发送连接请求；

若所述目标客户端的会话标记表示所述目标客户端的证书状态为吊销，则使所述网络设备与所述目标客户端断开连接。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本申请实施例还提供了一种电子设备，该电子设备的结构示意图如图6所示，该电子设备6000包括至少一个处理器6001、存储器6002和总线6003，至少一个处理器6001均与存储器6002电连接；存储器6002被配置用于存储有至少一个计算机可执行指令，处理器6001被配置用于执行该至少一个计算机可执行指令，从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种证书查询方法的步骤。

进一步，处理器6001可以是fpga(field－programmablegatearray，现场可编程门阵列)或者其它具有逻辑处理能力的器件，如mcu(microcontrollerunit，微控制单元)、cpu(centralprocessunit，中央处理器)。

应用本申请实施例，采用ocsp查询方式，实时查询客户端的证书状态，查询结果更准确，降低了安全隐患。

本申请实施例还提供了另一种计算机可读存储介质，存储有计算机程序，该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种证书查询方法的步骤。

本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、cd-rom、和磁光盘)、rom(read-onlymemory，只读存储器)、ram(randomaccessmemory，随即存储器)、eprom(erasableprogrammableread-onlymemory，可擦写可编程只读存储器)、eeprom(electricallyerasableprogrammableread-onlymemory，电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是，可读存储介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。

应用本申请实施例，采用ocsp查询方式，实时查询客户端的证书状态，查询结果更准确，降低了安全隐患。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。