专利名称:服务器证书更新方法及服务器的制作方法
技术领域:
本发明涉及通信技术,尤其涉及一种服务器证书更新方法及服务器。
背景技术:
安全套接字层(Security Socket Layer,简称为SSL)虚拟专用网 (VirtualPrivate Network,简称为VPN)是一种基于SSL构建的VPN,主要工作在应用层和传输控制协议(Transmission Control Protocol,简称为TCP)层之间。SSL VPN支持超文本传输协议(Hypertext Transfer Protocol,简称为HTTP),基于此,SSL VPN客户端(以下简称客户端)可以通过因特网浏览器对SSLVPN进行安全访问。
在客户端打开登录页面对SSL VPN服务器(以下简称服务器)进行Web接入时,首先要对服务器的SSL证书进行认证,只有在服务器的SSL证书通过认证后,客户端才能与服务器建立一条加密的SSL通道。
在现有技术中,每台服务器都对应一个根证书,服务器的SSL证书是由该根证书结合服务器的一些信息产生的,管理员会预先将服务器使用的根证书存储到客户端中。客户端对服务器的SSL证书进行认证主要是客户端使用根证书判断服务器的SSL证书的名称是否与服务器的IP地址或域名相符,以及判断服务器的SSL证书是否过期等等。在部署多台服务器的场景中,每台服务器对应一个根证书,这会造成根证书资源的浪费。发明内容
本发明提供一种服务器证书更新方法及服务器,用以节约根证书资源。
第一方面提供一种服务器证书更新方法,包括
如果第二服务器当前使用的第一安全套接字层SSL证书失效,所述第二服务器向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有所述第一 SSL证书;
所述第二服务器接收所述第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是所述第一服务器在根据所述第一 SSL证书确定出所述第二服务器是与所述第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为所述第二服务器签发的SSL证书;
所述第二服务器用所述第二 SSL证书替换所述第一 SSL证书。
第二方面提供一种服务器证书更新方法,包括
第一服务器接收第二服务器发送的证书更新请求消息,所述证书更新请求消息是所述第二服务器在当前使用的第一安全套接字层SSL证书失效时发送的,所述证书更新请求消息携带有所述第一 SSL证书;
如果所述第一服务器根据所述第一 SSL证书确定出所述第二服务器是与所述第一服务器使用相同根证书的合法服务器,所述第一服务器根据本地存储的第一根证书重新为所述第二服务器签发第二 SSL证书;
所述第一服务器向所述第二服务器发送证书更新响应消息,所述证书更新响应消息携带有所述第二 SSL证书,以使所述第二服务器用所述第二 SSL证书替换所述第一 SSL 证书。
第三方面提供一种服务器,包括
发送模块,用于在所述服务器当前使用的第一安全套接字层SSL证书失效,向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有所述第一 SSL证书;
接收模块,用于接收所述第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是所述第一服务器在根据所述第一 SSL证书确定出所述服务器是与所述第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为所述服务器签发的SSL证书;
更新模块,用于用所述第二 SSL证书替换所述第一 SSL证书。
第四方面提供一种服务器,包括
接收模块,用于接收第二服务器发送的证书更新请 消息,所述证书更新请求消息是所述第二服务器在当前使用的第一安全套接字层SSL证书失效时发送的,所述证书更新请求消息携带有所述第一 SSL证书;
签发模块,用于在根据所述第一 SSL证书确定出所述第二服务器是与所述服务器使用相同根证书的合法服务器时,根据本地存储的第一根证书重新为所述第二服务器签发第二 SSL证书;
发送模块,用于向所述第二服务器发送证书更新响应消息,所述证书更新响应消息携带有所述第二 SSL证书,以使所述第二服务器用所述第二 SSL证书替换所述第一 SSL 证书。
本发明提供的服务器证书更新方法及服务器,不同服务器共用相同的根证书,在进行SSL证书更新时,向持有根证书的服务器发送证书更新请求消息,并接收持有根证书的服务器发送的证书更新响应消息,从中获取新的SSL证书,用新的SSL证书替换原来的 SSL证书,完成SSL证书的更新,由于不同服务器共用相同的根证书,可以节约根证书资源。
图
图
图
图
图
图1为本发明实施例提供的一种服务器证书更新方法的流程图; 2为本发明实施例提供的另一种服务器证书更新方法的流程图 3为本发明实施例提供的又一种服务器证书更新方法的流程图 4为本发明实施例提供的再一种服务器证书更新方法的流程图 5为本发明实施例提供的一种服务器的结构示意图;6为本发明实施例提供的另一种服务器的结构示意图。
具体实施方式
图1为本发明实施例提供的一种服务器证书更新方法的流程图。如图1所示,本实施例的方法包括
步骤101、如果第二服务器当前使用的第一 SSL证书失效,第二服务器向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有第一 SSL证书。
步骤102、第二服务器接收第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是第一服务器在根据第一 SSL证书确定出第二服务器是与第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为第二服务器签发的SSL证书。
步骤103、第二服务器用第二 SSL证书替换第一 SSL证书。
在本实施例中,第二服务器和第一服务器是指SSL VPN服务器。第二服务器可以是一个或多个。在第二服务器为多个的情况下,每个第二服务器更新SSL证书的过程均相同,故本发明各实施例以其中一个第二服务器为例进行说明。
为便于区分,本实施例将第二服务器当前使用的SSL证书称为第一 SSL证书。第一 SSL证书也是由第一服务器使用本地存储的根证书为第二服务器签发的。在本实施例中,第一服务器持有根证书,第二服务器预先知道持有根证书的第一服务器的信息,第二服务器和第一服务器使用相同的根证书,这样可以节约根证书资源。
其中,第一 SSL证书失效的情况包括以下任一情况或其组合
第一 SSL证书的名称与第二服务器的IP地址不相符;
第一 SSL证书的名称与第二服务器的域名不相符;
第一 SSL证书过期;
第一 SSL证书即将过期。
其中,第一 SSL证书是有有效期的,第一 SSL证书即将过期是指第一 SSL证书剩余的可用时间小于预设的可用时间门限。可用时间门限可以根据实际应用需求灵活设置。
在本实施例中,第二服务器可以监控第一 SSL证书的使用情况,及时发现第一 SSL 证书是否失效;如果发现第一 SSL证书失效,第二服务器向与第二服务器使用相同根证书且持有该根证书的第一服务器发送证书更新请求消息,第二服务器通过证书更新请求消息将当前使用的第一 SSL证书一并提供给第一服务器。这样,第一服务器可以通过第一 SSL 证书判断第二服务器是否是与第一服务器使用相同根证书的合法服务器。如果第一服务器判断出第一 SSL证书是由第一服务器使用本地存储的根证书签发的,则第一服务器可以确定第二服务器是与第一服务器使用相同根证书的合法服务器,基于此,第一服务器就可以使用本地存储的根证书重新为第二服务器签发一个SSL证书,称为第二 SSL证书;如果第一服务器判断出第一 SSL证书不是由第一服务器使用本地存储的根证书签发的,则第一服务器可以确定第二服务器不是与第一服务器使用相同根证书的合法服务器。在本实施例中, 将第一服务器上当前存储的根证书称为第一根证书。
对于第一服务器来说,由于与其使用相同根证书的其他服务器的SSL证书是第一服务器签发的,且第一服务器知道所使用的签发规则等,因此,第一服务器可以判断出一个 SSL证书是否是由第一服务器使用本地存储的根证书签发的。
第一服务器为第二服务器重新签发第二 SSL证书之后,将第二 SSL证书携带在证书更新响应消息中发送给第二服务器。第二服务器接收第一服务器发送的证书更新响应消息,从中获取第二 SSL证书。然后,第二服务器用第二 SSL证书替换第一 SSL证书,从而完成SSL证书的更新过程。
之后,当客户端需要访问第二服务器时,客户端可以使用本地存储的根证书对第二服务器使用的第二 SSL证书进行认证,当第二服务器的第二 SSL证书通过认证之后,客户端才能与第二服务器建立一条加密的SSL通道。
在本实施例中,第二服务器与第一服务器共用相同的根证书,在进行SSL证书更新时,第二服务器向持有根证书的第一服务器发送证书更新请求消息,并接收持有根证书的第一服务器发送的证书更新响应消息,从中获取新的SSL证书,用新的SSL证书替换原来的SSL证书,完成SSL证书的更新,由于不同服务器共用相同的根证书,可以节约根证书资源。
进一步,在现有技术的多服务器的场景中,管理员需要将每个服务器对应的根证书手动存储到客户端中,以便于客户端对不同服务器进行SSL证书认证,这不仅效率较低, 而且配置工作量大,管理员的负担较重。在本实施例中,由于不同服务器共用相同的根证书,使得根证书的数量减少,在节约根证书资源的同时,可以减轻管理员的配置工作量,减轻管理员的工作负担,另外,客户端可以使用同一根证书对不同服务器进行SSL证书认证, 能够简化客户端的操作,提高对SSL证书的认证效率,节约客户端的存储资源等。
图2为本发明实施例提供的另一种服务器证书更新方法的流程图。如图2所示, 本实施例的方法包括
步骤201、如果第二服务器当前使用的第一 SSL证书失效,第二服务器向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有第一 SSL证书。
步骤202、第二服务器接收第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是第一服务器在根据第一 SSL证书确定出第二服务器是与第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为第二服务器签发的SSL证书。
步骤203、第二服务器用第二 SSL证书替换第一 SSL证书。
其中,步骤201-步骤203可参见上述步骤101-步骤103的描述。
步骤204、第二服务器接收第一服务器发送的证书更新通知消息,所述证书更新通知消息携带有第三SSL证书,所述第三SSL证书是第一服务器根据本地存储的第二根证书重新为第二服务器签发的SSL证书,所述第二根证书是第一服务器在第一根证书失效后重新获得的根证书。
步骤205、第二服务器用第三SSL证书替换第二服务器当前使用的SSL证书。
上述步骤204-步骤205,与步骤201-步骤203的执行顺序可以根据具体情况而定,后面将做详细说明。
在本实施例中,不仅第二服务器使用的SSL证书会失效,第一服务器存储的根证书也会发生失效。其中,第一根证书失效的情况包括以下任一情况或其组合
第一根证书的名称与第一服务器的IP地址不相符;
第一根证书的名称与第一服务器的域名不相符;
第一根证书过期;
第一根证书即将过期。
其中,第一根证书是有有效期的,第一根证书即将过期主要是指第一根证书剩余的可用时间小于预设的可用时间门限,即第一根证书即将过期。
第一服务器可以监控第一根证书的使用情况,以便及时发现第一根证书是否失效。如果发现第一根证书失效,则第一服务器对第一根证书进行更新,获得第二根证书。其中,第一服务器获得第二根证书的方式包括以下几种
如果第一根证书是第一服务器本地产生的自签名证书,则在第一根证书失效后, 第一服务器可以重新签发一张根证书作为第二根证书。或者
如果第一根证书是第三方认证中心(Certificate Authority,简称为CA)签发的, 则在第一根证书失效后,第一服务器可以向第三方CA发送根证书请求消息,请求第三方CA 重新签发一张根证书,然后第一服务器接收第三方CA根据根证书请求消息发送的第二根证书。其中,第三方CA会根据第一服务器发送的根证书请求消息,重新为第一服务器签发一张根证书。或者
无论第一根证书是第一服务器本地产生的还是第三方CA签发的,在第一根证书是因为过期或即将过期导致失效后,第一服务器可以延长第一根证书的有效期,从而获得第二根证书。在该实施方式中,第二根证书与第一根证书相同。具体的,如果第一根证书是第一服务器本地产生的自签名证书,则第一服务器可以直接延长第一根证书的有效期即可。如果第一根证书是第三方CA签发的,则第一服务器需要与第三方CA联动,以便共同完成第一根证书的延期。
在第一服务器更新根证书之后,与第一服务器使用相同根 证书的第二服务器的 SSL证书也需要重新签发。基于此,第一服务器在获得第二根证书之后,根据第二根证书重新为第二服务器签发第三SSL 证书,并向第二服务器发送证书更新通知消息,通过证书更新通知消息携带第三SSL证书。对第一服务器来说,其上存储有与其共用相同根证书的第二服务器的有关信息,例如第二服务器的IP地址、域名、当前使用的SSL证书等,所以第一服务器可以在更新根证书之后,根据存储的第二服务器的有关信息,确定需要为哪个服务器重新签发SSL证书并根据有关信息重新为该服务器签发SSL证书。
第二服务器接收第一服务器发送的证书更新通知消息,从中获取第三SSL证书, 并用第三SSL证书替换第二服务器当前使用的SSL证书,从而完成SSL证书随根证书的更新而更新的过程。
可选的,一种情况为第一根证书的更新发生在第一 SSL证书失效之前,则第二服务器在接收到证书更新通知消息时,当前使用的SSL证书为上述第一 SSL证书,则第二服务器接收到第三SSL证书后,会用第三SSL证书替换第一 SSL证书。在该情况下,上述步骤 204-步骤205在步骤201-步骤203之前执行;相应的,步骤201-步骤203中所述的“第一 SSL证书”需要替换为“更新后的第一 SSL证书”。
另一种情况为第一根证书的更新发生在第一 SSL证书因失效进行更新之后,即第一更证书的更新在第二服务器获取的第二 SSL证书之后,则第二服务器在接收到证书更新通知消息时,当前使用的SSL证书为上述第二 SSL证书,则第二服务器接收到第三SSL证书后,会用第三SSL证书替换第二 SSL证书。在该情况下,上述步骤204-步骤205在步骤 201-步骤203之后执行。
另外,第一服务器更新根证书之后,也需要将更新后的第二根证书提供客户端。一种实施方式包括管理员手动将更新后的第二根证书存储到客户端,以使客户端使用第二根证书对第一服务器或第二服务器进行SSL证书认证。另一种实施方式包括第一服务器将第二根证书发送给客户端,以使客户端使用第二根证书对第一服务器或第二服务器进行SSL证书认证。例如,第一服务器可以以邮件的方式,将第二根证书发送到客户端的Web邮箱中。
在此说明,对于同一 SSL证书来说,第二服务器根据根证书的更新而更新所使用的该SSL证书的过程,与第二服务器发现所使用的该SSL证书失效而更新该SSL证书的过程是两个独立的过程,其执行先后顺序不做限定。本实施例以第二服务器发现所使用的SSL 证书失效而更新所使用的SSL证书的过程在先为例进行说明。
在本实施例中,第二服务器与第一服务器共用相同的根证书,在进行SSL证书更新时,第二服务器向持有根证书的第一服务器发送证书更新请求消息,并接收持有根证书的第一服务器发送的证书更新响应消息,从中获取新的SSL证书,用新的SSL证书替换原来的SSL证书,完成SSL证书的更新,由于不同服务器共用相同的根证书,可以节约根证书资源。另外,在本实施例中,根证书进行更新后,第一服务器主动重新为第二服务器签发新的SSL证书,并将新的SSL证书提供给第二服务器,第二服务器的SSL证书可以得到及时更新,效率较高。进一步,在本实施例中,由于不同服务器共用相同的根证书,使得根证书的数量减少,在节约根证书资源的同时,可以减轻管理员的配置工作量,减轻管理员的工作负担,另外,客户端可以使用同一根证书对不同服务器进行SSL证书认证,能够简化客户端的操作,提高对SSL证书的认证效率,节约客户端的存储资源等。
图3为本发明实施例提供的又一种服务器证书更新方法的流程图。如图3所示, 本实施例的方法包括
步骤301、第一服务器接收第二服务器发送的证书更新请求消息,所述证书更新请求消息是第二服务器在当前使用的第一 SSL证书失效时发送的,所述证书更新请求消息携所述第一 SSL证书。
步骤302、如果第一服务器根据第一 SSL证书确定出第二服务器是与第一服务器使用相同根证书的合法服务器,第一服务器根据本地存储的第一根证书重新为第二服务器签发第二 SSL证书。
步骤303、第一服务器向第二服务器发送证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,以使第二服务器用第二 SSL证书替换第一 SSL证书。
在本实施例中,第一服务器和第二服务器是指SSL VPN服务器。第二服务器可以是一个或多个。
为便于区分,本实施例将第二服务器当前使用的SSL证书称为第一 SSL证书。第一 SSL证书也是由第一服务器使用本地存储的根证书为第二服务器签发的。在本实施例中,第一服务器持有根证书,第二服务器预先知道持有根证书的第一服务器的信息,第二服务器和第一服务器使用相同的根证书,这样可以节约根证书资源。
其中,第一 SSL证书失效的情况包括以下任一情况或其组合
第一 SSL证书的名称与第二服务器的IP地址不相符;
第一 SSL证书的名称与第二服务器的域名不相符;
第一 SSL证书过期;
第一 SSL证书即将过期。
其中,第一 SSL证书是有有效期的,第一 SSL证书即将过期是指第一 SSL证书剩余的可用时间小于预设的可用时间门限。可用时间门限可以根据实际应用需求灵活设置。
在本实施例中,第二服务器可以监控第一 SSL证书的使用情况,及时发现第一 SSL 证书是否失效;如果发现第一 SSL证书失效,第二服务器向与第二服务器使用相同根证书且持有该根证书的第一服务器发送证书更新请求消息,第二服务器通过证书更新请求消息将当前使用的第一 SSL证书一并提供给第一服务器。
第一服务器接收第二服务器发送的证书更新请求消息,从中获取第一 SSL证书, 然后通过第一 SSL证书判断第二服务器是否是与第一服务器使用相同根证书的合法服务器。由于与第一服务器使用相同根证书的其他服务器的SSL证书是第一服务器签发的,且第一服务器知道所使用的签发规则等,因此,第一服务器可以判断出一个SSL证书是否是由第一服务器使用本地存储的根证书签发的。
如果第一服务器判断出第一 SSL证书是由第一服务器使用本地存储的根证书签发的,则第一服务器可以确定第二服务器是与第一服务器使用相同根证书的合法服务器, 基于此,第一服务器就可以使用本地存储的根证书重新为第二服务器签发一个SSL证书, 称为第二 SSL证书;如果第一服务器判断出第一 SSL证书不是由第一服务器使用本地存储的根证书签发的,则第一服务器可以确定第二服务器不是与第一服务器使用相同根证书的合法服务器。在本实施例中,将第一服务器上当前存储的根证书称为第一根证书。
第一服务器使用第一根证书重新为第二服务器签发第二 SSL证书后,向第二服务器发送证书更新响应消息,通过证书更新响应消息将第二 SSL证书提供给第二服务器,使得第二服务器可以用第二 SSL证书替换第一 SSL证书。
在本实施例中,第一服务器与第二服务器共用相同的根证书,在第二服务器的SSL 证书失效时,可以根据第二服务器发送的证书更新请求消息,重新为第二服务器签发SSL 证书,使得第二服务器完成SSL证书的更新,由于不同服务器共用相同的根证书,可以节约根证书资源。
进一步,在现有技术的多服务器的场景中,管理员需要将每个服务器对应的根证书手动存储到客户端中,以 便于客户端对不同服务器进行SSL证书认证,这不仅效率较低, 而且配置工作量大,管理员的负担较重。在本实施例中,由于不同服务器共用相同的根证书,使得根证书的数量减少,在节约根证书资源的同时,可以减轻管理员的配置工作量,减轻管理员的工作负担,另外,客户端可以使用同一根证书对不同服务器进行SSL证书认证, 能够简化客户端的操作,提高对SSL证书的认证效率,节约客户端的存储资源等。
图4为本发明实施例提供的再一种服务器证书更新方法的流程图。如图4所示, 本实施例的方法包括
步骤401、第一服务器接收第二服务器发送的证书更新请求消息,所述证书更新请求消息是第二服务器在当前使用的第一 SSL证书失效时发送的,所述证书更新请求消息携所述第一 SSL证书。
步骤402、如果第一服务器根据第一 SSL证书确定出第二服务器是与第一服务器使用相同根证书的合法服务器,第一服务器根据本地存储的第一根证书重新为第二服务器签发第二 SSL证书。
步骤403、第一服务器向第二服务器发送证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,以使第二服务器用第二 SSL证书替换第一 SSL证书。
其中,步骤401-步骤403可参见步骤301-步骤303的描述。
步骤404、如果第一根证书失效,第一服务器重新获得第二根证书。
步骤405、第一服务器根据第二根证书重新为第二服务器签发第三SSL证书。
步骤406、第一服务器向第二服务器发送证书更新通知消息,所述证书更新通知消息携带有第三SSL证书,以使第二服务器用第三SSL证书替换第二服务器当前使用的SSL 证书。
上述步骤404-步骤406,与上述步骤401-步骤403的执行顺序可以根据具体情况而定,后面将做详细说明。
在本实施例中,仅第二服务器使用的SSL证书会失效,第一服务器存储的根证书也会发生失效。其中,第一根证书失效的情况包括以下任一情况或其组合
第一根证书的名称与第一服务器的IP地址不相符;
第一根证书的名称与第一服务器的域名不相符;
第一根证书过期;
第一根证书即将过期。
其中,第一根证书是有有效期的,第一根证书即将过期主要是指第一根证书剩余的可用时间小于预设的可用时间门限,即第一根证书即将过期。
第一服务器可以监控第一根证书的使用情况,以便及时发现第一根证书是否失效。如果发现第一根证 书失效,则第一服务器对第一根证书进行更新,获得第二根证书。其中,第一服务器获得第二根证书的方式包括以下几种
如果第一根证书是第一服务器本地产生的自签名证书,则在第一根证书失效后, 第一服务器可以重新签发一张根证书作为第二根证书。或者
如果第一根证书是第三方CA签发的,则在第一根证书失效后,第一服务器可以向第三方CA发送根证书请求消息,请求第三方CA重新签发一张根证书,然后第一服务器接收第三方CA根据根证书请求消息发送的第二根证书。其中,第三方CA会根据第一服务器发送的根证书请求消息,重新为第一服务器签发一张根证书。或者
无论第一根证书是第一服务器本地产生的还是第三方CA签发的,在第一根证书是因为过期或即将过期导致失效后,第一服务器可以延长第一根证书的有效期,从而获得第二根证书。在该实施方式中,第二根证书与第一根证书相同。具体的,如果第一根证书是第一服务器本地产生的自签名证书,则第一服务器可以直接延长第一根证书的有效期。如果第一根证书是第三方CA签发的,则第一服务器需要与第三方CA联动,以便共同完成第一根证书的延期。
通常,管理员会预先对第一服务器进行配置,配置所使用的根证书的来源信息。基于此,第一服务器可以根据配置信息,区分根证书是本地产生,还是由第三方CA签发。进一步,可由管理员通过变更对第一服务器的配置信息,从而变更第一服务器所使用的根证书的来源。例如,如果根据应用需求,需要变更根证书的来源,例如在使用本地产生的自签名证书一段时间之后,需要使用第三方CA签发的根证书,则可以由管理员重新对第一服务器进行配置,将根证书的来源配置为第三方CA。
在第一服务器更新根证书之后,与第一服务器使用相同根证书的第二服务器的 SSL证书也需要重新签发。基于此,第一服务器在获得第二根证书之后,根据第二根证书重新为第二服务器签发第三SSL证书,并向第二服务器发送证书更新通知消息,通过证书更新通知消息携带第三SSL证书。对第一服务器来说,其上存储有与其共用相同根证书的第二服务器的有关信息,例如第二服务器的IP地址、域名、当前使用的SSL证书等,所以第一服务器可以在更新根证书之后,根据存储的第二服务器的有关信息,确定需要为哪个服务器重新签发SSL证书并根据有关信息重新为该服务器签发SSL证书。
第一服务器重新使用新的根证书(即第二根证书)为第二服务器签发第三SSL证书之后,向第二服务器发送证书更新通知消息,通过证书更新通知消息将第三SSL证书提供给第二服务器,使得第二服务器可以用第三SSL证书替换第二服务器当前使用的SSL证书。
可选的,一种情况为第一根证书的更新发生在第一 SSL证书失效之前,则第二服务器在接收到证书更新通知消息时,当前使用的SSL证书为上述第一 SSL证书,则第二服务器接收到第三SSL证书后,会用第三SSL证书替换第一 SSL证书。在该情况下,上述步骤 404-步骤406在步骤401-步骤403之前执行;相应的,步骤401-步骤403中所述的“第一 SSL证书”需要替换为“更新后的第一 SSL证书”。
另一种情况为第一根证书的更新发生在第一 SSL证书因失效进行更新之后,即第一更证书的更新在第二服务器获取的第二 SSL证书之后,则第二服务器在接收到证书更新通知消息时,当前使用的SSL证书为上述第二 SSL证书,则第二服务器接收到第三SSL证书后,会用第三SSL证书替换第二 SSL证书。在该情况下,上述步骤404-步骤406在步骤 401-步骤403之后执行。
另外,第一服务器更新根证书之后,也需要将更新后的第二根证书提供客户端。一种实施方式包括管理员手动将更新后的第二根证书存储到客户端,以使客户端使用第二根证书对第一服务器或第二服务器进行SSL证书认证。另一种实施方式包括第一服务器将第二根证书发送给客户端,以使客户端使用第二根证书对第一服务器或第二服务器进行 SSL证书认证。例如,第一服务器可以以邮件的方式,将第二根证书发送到客户端的Web邮箱中。
在此说明,第一服务器更新根证书的过程以及根据根证书的更新而更新第二服务器所使用的SSL证书的过程,与第二服务器发现所使用的SSL证书失效而更新所使用的SSL 证书的过程是两个独立的过程,其执行先后顺序不做限定。本实施例以第二服务器发现所使用的SSL证书失效而更新所使·用的SSL证书的过程在先为例进行说明。
在本实施例中,第一服务器与第二服务器共用相同的根证书,在第二服务器的SSL 证书失效时,可以根据第二服务器发送的证书更新请求消息,重新为第二服务器签发SSL 证书,使得第二服务器完成SSL证书的更新,由于不同服务器共用相同的根证书,可以节约根证书资源。另外,在本实施例中,第一服务器可以对根证书进行更新,并在根证书更新后主动重新为第二服务器签发新的SSL证书,并将新的SSL证书提供给第二服务器,使得第二服务器的SSL证书可以得到及时更新,效率较高。进一步,在本实施例中,由于不同服务器共用相同的根证书,使得根证书的数量减少,在节约根证书资源的同时,可以减轻管理员的配置工作量,减轻管理员的工作负担,另外,客户端可以使用同一根证书对不同服务器进行 SSL证书认证,能够简化客户端的操作,提高对SSL证书的认证效率,节约客户端的存储资源等。
图5为本发明实施例提供的一种服务器的结构示意图。如图5所示,本实施例的服务器包括发送模块51、接收模块52和更新模块53。
发送模块51,用于在本实施例服务器当前使用的第一 SSL证书失效,向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有所述第一 SSL证书。
接收模块52,与发送模块51连接,用于在发送模块51发送的证书更新请求消息之后,接收第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是第一服务器在根据第一 SSL证书确定出本实施例服务器是与第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为本实施例服务器签发的SSL证书。
更新模块53,与接收模块52连接,用于用接收模块52接收的第二 SSL证书替换所述第一 SSL证书。
在一可选实施方式中,接收模块52还用于在接收所述证书更新响应消息之后,接收第一服务器发送的证书更新通知消息,所述证书更新通知消息携带有第三SSL证书,所述第三SSL证书是第一服务器根据本地存储的第二根证书重新为本实施例服务器签发的 SSL证书,所述第二根证书是第一服务器在第一根证书失效后重新获得的根证书。
相应的,更新模块53还用于用接收模块52接收的第三SSL证书替换第二服务器当前使用的SSL证书。
如果第一根证书的更新发生在第一 SSL证书失效之前,则第二服务器当前使用的 SSL证书为第一 SSL证书,则更新模块53具体用于用接收模块52接收的第三SSL证书替换第一 SSL证书。如果第一根证书的更新发生在第二 SSL证书因失效而进行更新之后,则第二服务器当前使用的SSL证书为第二 SSL证书,则更新模块53具体用于用接收模块52接收的第三SSL证书替换第二 SSL证书。
其中,第一 SSL证书失效的情况包括以下任一情况或其组合
第一 SSL证书的名称与第二服务器的IP地址不相符;
第一 SSL证书的名称与第二服务器的域名不相符;
第一 SSL证书过期;
第一 SSL证书即将过期。
其中,第一 SSL证书是有有效期的,第一 SSL证书即将过期主要是指第一 SSL证书剩余的可用时间小于预设的可用时间门限,即第一 SSL证书即将过期。
本实施例提供的服务器的各功能模块可用于执行图1和图2所示服务器证书更新方法的流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例提供的服务器,可作为上述方法实施例中的第二服务器,与第一服务器共用相同的根证书,在进行SSL证书更新时,向持有根证书的第一服务器发送证书更新请求消息,并接收持有根证书的第一服务器发送的证书更新响应消息,从中获取新的SSL证书,用新的SSL证书替换原来的SSL证书,完成SSL证书的更新,由于可以与不同服务器共用相同的根证书,可以节约根证书资源。另外,本实施例的服务器可以在第一服务器对根证书进行更新后,接收第一服务器重新签发的新SSL证书,并用新的SSL证书替换当前使用的 SSL证书,使得SSL证书可以得到及时更新,效率较高。进一步,本实施例的服务器可以与不同服务器共用相同的根证书,使得根证书的数量减少,在节约根证书资源的同时,可以减轻管理员的配置工作量,减轻管理员的工作负担。
图6为本发明实施例提供的另一种服务器的结构示意图。如图6所示,本实施例的服务器包括接收模块61、签发模块62和发送模块63。
接收模块61,用于接收第二服务器发送的证书更新请求消息,所述证书更新请求消息是第二服务器在当前使用的第一 SSL证书失效时发送的,所述证书更新请求消息携带有所述第一 SSL证书。
签发模块62,与接收模块61连接,用于在根据接收模块61接收的第一 SSL证书确定出第二服务器是与本实施例的服务器使用相同根证书的合法服务器时,根据本地存储的第一根证书重新为第二服务器签发第二 SSL证书。
发送模块63,与签发模块62连接,用于向第二服务器发送证书更新响应消息,所述证书更新响应消息携带有签发模块62签发的第二 SSL证书,以使第二服务器用第二 SSL 证书替换第一 SSL证书。
在一可选实施方式中,如图6所不,本实施例的服务器还包括获得模块64。
获得模块64,用于在第一根证书失效时,重新获得第二根证书。
基于获得模块64,签发模块62还与获得模块64连接,还用于根据获得模块64获得的第二根证书重新为第二服务器签发第三SSL证书。相应的,发送模块63还用于向第二服务器发送证书更新通知消息,所述证书更新通知消息携带有签发模块62签发的第三SSL 证书,以使第二服务器用第三SSL证书替换第二服务器当前使用的SSL证书。
如果第一根证书的更新发生在第一 SSL证书失效之前,则第二服务器当前使用的 SSL证书为第一 SSL证书。如果第一根证书的更新发生在第二 SSL证书因失效而进行更新之后,则第二服务器当前使用的SSL证书为第二 SSL证书。
在一可选实施方式中,发送模块63还用于将第二根证书发送给客户端,以使客户端使用第二根证书对所述服务器或第二服务器进行SSL证书认证。
在一可选实施方式中,获得模块64具体可用于重新签发第二根证书。或者
获得模块64具体可用于延长第一根证书的有效期,以获得第二根证书。或者
获得模块64具体可用于向第三方CA发送根证书请求消息,接收第三方CA根据根证书请求消息发送的第二根证书。
其中,第一 SSL证书失效的情况包括以下任一情况或其组合
第一 SSL证书的名称与第二服务器的IP地址不相符;
第一 SSL证书的名称与第二服务器的域名不相符;
第一 SSL证书过期;
第一 SSL证书即将过期。
其中,第一 SSL证书是有有效期的,第一 SSL证书即将过期主要是指第一 SSL证书剩余的可用时间小于预设的可用时间门限,即第一 SSL证书即将过期。
第一根证书失效的情况包括以下任一情况或其组合
第一根证书的名称与第一服务器的IP地址不相符;
第一根证书的名称与第一服务器的域名不相符;
第一根证书过期;
第一根证书即将过期。
其中,第一根证书是有有效期的,第一根证书即将过期主要是指第一根证书剩余的可用时间小于预设的可用时间门限,即第一根证书即将过期。
本实施例提供的服务器的各功能模块可用于执行图3和图4所示服务器证书更新方法的流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例提供的服务器,可作为上述方法实施例中的第一服务器,与第二服务器共用相同的根证书,在第二服务器的SSL证书失效时,可以根据第二服务器发送的证书更新请求消息,重新为第二服务器签发SSL证书,使得第二服务器完成SSL证书的更新,由于可以与不同服务器共用相同的根证书,可以节约根证书资源。另外,本实施例的服务器可以对根证书进行更新,并在根证书更新后主动重新为第二服务器签发新的SSL证书,并将新的SSL证书提供给第二服务器,使得第二服务器的SSL证书可以得到及时更新,效率较高。 进一步,本实施例提供的服务器可以与不同服务器共用相同的根证书,使得根证书的数量减少,在节约根证书资源的同时,可以减轻管理员的配置工作量,减轻管理员的工作负担。
本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括R0M、RAM、 磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种服务器证书更新方法,其特征在于,包括 如果第二服务器当前使用的第一安全套接字层SSL证书失效,所述第二服务器向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有所述第一 SSL证书; 所述第二服务器接收所述第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是所述第一服务器在根据所述第一 SSL证书确定出所述第二服务器是与所述第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为所述第二服务器签发的SSL证书; 所述第二服务器用所述第二 SSL证书替换所述第一 SSL证书。
2.根据权利要求1所述的服务器证书更新方法,其特征在于,还包括 所述第二服务器接收所述第一服务器发送的证书更新通知消息,所述证书更新通知消息携带有第三SSL证书,所述第三SSL证书是所述第一服务器根据本地存储的第二根证书重新为所述第二服务器签发的SSL证书,所述第二根证书是所述第一服务器在所述第一根证书失效后重新获得的根证书; 所述第二服务器用所述第三SSL证书替换所述第二服务器当前使用的SSL证书。
3.根据权利要求1或2所述的服务器证书更新方法,其特征在于,所述第一SSL证书失效包括以下任一情况或其组合 所述第一 SSL证书的名称与所述第二服务器的IP地址不相符; 所述第一 SSL证书的名称与所述第二服务器的域名不相符; 所述第一 SSL证书过期; 所述第一 SSL证书即将过期。
4.一种服务器证书更新方法,其特征在于,包括 第一服务器接收第二服务器发送的证书更新请求消息,所述证书更新请求消息是所述第二服务器在当前使用的第一安全套接字层SSL证书失效时发送的,所述证书更新请求消息携带有所述第一 SSL证书; 如果所述第一服务器根据所述第一 SSL证书确定出所述第二服务器是与所述第一服务器使用相同根证书的合法服务器,所述第一服务器根据本地存储的第一根证书重新为所述第二服务器签发第二 SSL证书; 所述第一服务器向所述第二服务器发送证书更新响应消息,所述证书更新响应消息携带有所述第二 SSL证书,以使所述第二服务器用所述第二 SSL证书替换所述第一 SSL证书。
5.根据权利要求4所述的服务器证书更新方法,其特征在于,还包括 如果所述第一根证书失效,所述第一服务器重新获得第二根证书; 所述第一服务器根据所述第二根证书重新为所述第二服务器签发第三SSL证书; 所述第一服务器向所述第二服务器发送证书更新通知消息,所述证书更新通知消息携带有所述第三SSL证书,以使所述第二服务器用所述第三SSL证书替换所述第二服务器当前使用的SSL证书。
6.根据权利要求5所述的服务器证书更新方法,其特征在于,所述第一服务器重新获得第二根证书之后,包括 所述第一服务器将所述第二根证书发送给客户端,以使所述客户端使用所述第二根证书对所述第一服务器或所述第二服务器进行SSL证书认证。
7.根据权利要求5或6所述的服务器证书更新方法,其特征在于,所述第一服务器重新获得第二根证书包括 所述第一服务器重新签发所述第二根证书;或者 所述第一服务器延长所述第一根证书的有效期,以获得所述第二根证书;或者 所述第一服务器向第三方认证中心CA发送根证书请求消息; 所述第一服务器接收所述第三方CA根据所述根证书请求消息发送的所述第二根证书。
8.根据权利要求4-6任一项所述的服务器证书更新方法,其特征在于,所述第一根证书失效包括以下任一情况或其组合 所述第一根证书的名称与所述第一服务器的IP地址不相符; 所述第一根证书的名称与所述第一服务器的域名不相符; 所述第一根证书过期; 所述第一根证书即将过期。
9.一种服务器,其特征在于,包括 发送模块,用于在所述服务器当前使用的第一安全套接字层SSL证书失效,向持有根证书的第一服务器发送证书更新请求消息,所述证书更新请求消息携带有所述第一 SSL证书; 接收模块,用于接收所述第一服务器发送的证书更新响应消息,所述证书更新响应消息携带有第二 SSL证书,所述第二 SSL证书是所述第一服务器在根据所述第一 SSL证书确定出所述服务器是与所述第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为所述服务器签发的SSL证书; 更新模块,用于用所述第二 SSL证书替换所述第一 SSL证书。
10.根据权利要求9所述的服务器,其特征在于,所述接收模块还用于接收所述第一服务器发送的证书更新通知消息,所述证书更新通知消息携带有第三SSL证书,所述第三SSL证书是所述第一服务器根据本地存储的第二根证书重新为所述服务器签发的SSL证书,所述第二根证书是所述第一服务器在所述第一根证书失效后重新获得的根证书; 所述更新模块还用于用所述第三SSL证书替换所述第二服务器当前使用的SSL证书。
11.一种服务器,其特征在于,包括 接收模块,用于接收第二服务器发送的证书更新请求消息,所述证书更新请求消息是所述第二服务器在当前使用的第一安全套接字层SSL证书失效时发送的,所述证书更新请求消息携带有所述第一 SSL证书; 签发模块,用于在根据所述第一 SSL证书确定出所述第二服务器是与所述服务器使用相同根证书的合法服务器时,根据本地存储的第一根证书重新为所述第二服务器签发第二SSL证书; 发送模块,用于向所述第二服务器发送证书更新响应消息,所述证书更新响应消息携带有所述第二 SSL证书,以使所述第二服务器用所述第二 SSL证书替换所述第一 SSL证书。
12.根据权利要求11所述的服务器,其特征在于,还包括 获得模块,用于在所述第一根证书失效时,重新获得第二根证书;所述签发模块还用于根据所述第二根证书重新为所述第二服务器签发第三SSL证书; 所述发送模块还用于向所述第二服务器发送证书更新通知消息,所述证书更新通知消息携带有所述第三SSL证书,以使所述第二服务器用所述第三SSL证书替换所述第二服务器当前使用的SSL证书。
13.根据权利要求12所述的服务器,其特征在于,所述发送模块还用于将所述第二根证书发送给客户端,以使所述客户端使用所述第二根证书对所述服务器或所述第二服务器进行SSL证书认证。
14.根据权利要求12或13所述的服务器,其特征在于,所述获得模块具体用于重新签发所述第二根证书;或者 所述获得模块具体用于延长所述第一根证书的有效期,以获得所述第二根证书;或者 所述获得模块具体用于向第三方认证中心CA发送根证书请求消息,接收所述第三方CA根据所述根证书请求消息发送的所述第二根证书。
全文摘要
本发明提供一种服务器证书更新方法及服务器。方法包括如果第二服务器当前使用的第一SSL证书失效,第二服务器向持有根证书的第一服务器发送证书更新请求消息,证书更新请求消息携带有第一SSL证书;第二服务器接收第一服务器发送的证书更新响应消息,证书更新响应消息携带有第二SSL证书,第二SSL证书是第一服务器在根据第一SSL证书确定出第二服务器是与第一服务器使用相同根证书的合法服务器之后,根据本地存储的第一根证书重新为第二服务器签发的SSL证书;第二服务器用第二SSL证书替换第一SSL证书。在本发明技术方案中,不同服务器共用相同的根证书,可以节约根证书资源。
文档编号H04L29/06GK103001965SQ20121053011
公开日2013年3月27日 申请日期2012年12月10日 优先权日2012年12月10日
发明者刘桂源 申请人:北京星网锐捷网络技术有限公司