CN101828358B - 服务器认证书发行系统 - Google Patents
服务器认证书发行系统 Download PDFInfo
- Publication number
- CN101828358B CN101828358B CN2008801008408A CN200880100840A CN101828358B CN 101828358 B CN101828358 B CN 101828358B CN 2008801008408 A CN2008801008408 A CN 2008801008408A CN 200880100840 A CN200880100840 A CN 200880100840A CN 101828358 B CN101828358 B CN 101828358B
- Authority
- CN
- China
- Prior art keywords
- server certificate
- webserver
- server
- mentioned
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Abstract
在本发明的服务器认证书发行系统中,网络服务器具有至少对网页及邮件进行设定及管理的控制面板(21)。该控制面板上安装有:生成用于输入服务器认证书的发行申请事项的输入画面的单元(30);生成用于加密的密码的密码生成单元(34);生成表示认证书的发行请求意思的验证页的单元(32)。作为验证信息,在验证页上例如显示所生成的密码。注册服务器(10)从接收到的服务器认证书发行请求中获取密码,并访问网络服务器读取在验证页上显示的验证信息,对所读取的验证信息和密码进行核对。作为核对结果,在从网络服务器读取的验证信息和密码一致时,判断为成为服务器认证书的发行对象的网络服务器实际存在,并生成密钥对及CSR,将CSR发送到认证书发行服务器(11)上。
Description
技术领域
本发明涉及根据从网络服务器发送过来的服务器认证书发行请求而发行服务器认证书的服务器认证书发行系统。
背景技术
为了安全地进行网络服务器与网络浏览器之间的互联网通信,利用了公钥基础结构(PKI:Public Key Infrastructure)的SSL(Secure SocketLayer:安全套接层)正在被实用化。在导入了SSL的通信系统中,由于采用从能够信任的第三机构即认证机构(认证局:CA)发行的服务器认证书(SSL认证书)来进行加密处理,所以可防止电子诈骗、篡改、盗听等,并可确保更安全的互联网通信。
在进行服务器认证书的发行申请时,利用搭载于网络服务器和网络浏览器上的认证书发行申请功能来生成公钥和私钥的密钥对。然后,生成包含公钥的签名请求文件(CSR),并将所生成的CSR发送到注册机构,由此来进行服务器认证书的发行请求。接收到服务器认证书的发行请求的注册机构进行用于确认本人的验证,并在确认了请求发行服务器认证书的用户的真实性后,将CSR发送到发行机构。发行机构在签名请求文件所包含的公钥上进行数字签名,并生成服务器认证书,所生成的服务器认证书被送到注册机构。此外,由注册机构向用户通知能够从网络服务器进行下载。
在发行服务器认证书时,服务器认证书的发行请求人的相同性确认(本人确认)很重要,作为相同性确认的方法,利用了域名认证的服务器认证书发行系统正在被实用化(例如,参照专利文献1)。在该现有的本人确认方法中,当有服务器认证书的发行请求时,注册服务器访问域名服务器的数据库(Whois信息),关于该网络服务器,与具有可批准服务器认证书的发行的权限的批准商取得联络,采用电话或电子邮件等联络方法来验证是否批准认证书的发行请求,只有在得到批准商的批准时才发行认证书。
专利文献1:JP特开2005-506737号公报
发明内容
在以往的利用了域名认证的本人确认方法中,关于认证书的发行,基于Whois信息来检索出具有批准权限的服务商,并基于所检索到的批准商的批准来进行本人确认。但是,Approver-Email方式的认证方法中,仅仅是得到了具有批准权限的服务商的批准,而并没有确认成为认证书的发行对象的网络服务器的实有性,因此存在安全上的问题。此外,在由电子邮件进行的本人确认中,暗藏着产生安全上的问题的危险性,例如电子邮件被盗时等。进而,注册机构必须访问域名注册服务器的数据库并检索批准商,而存在注册机构中的本人确认作业变得烦杂的缺点。而且,必须通过电话等联系方法来得到批准确认,这对于将认证书的发行自动化来讲成为大障碍。
进而,在以往的认证书发行系统中,用户必须生成密钥对和CSR。但是,其作业需要复杂的人力作业,对于用户来讲成为手续上的大负担。如果消除这些烦杂性,则能够减轻用户的负担,可期待SSL认证书的活用。
本发明的目的在于实现一种服务器认证书发行系统,其能够确认成为认证书发行对象的网络服务器的实有性,并进一步提高了安全性。
进而,本发明的另一目的在于实现一种服务器认证书发行系统,其能够在计算机系统中自动地进行本人认证,并能够全自动地进行服务器认证书的发行。
进而,本发明的另一目的在于实现一种服务器认证书发行系统,其能够大幅度地减轻申请人的手续上的负担。
根据本发明的服务器认证书发行系统具备:注册服务器,其设置于注册机构,并经由网络接收从网络服务器发送过来的服务器认证书发行请求,进行规定的审查并将签名请求文件(CSR)发送到发行机构;认证书发行服务器,其设置于发行机构,并接收从注册服务器发送过来的CSR,进行数字签名而生成服务器认证书,将所生成的服务器认证书发送到上述注册服务器上,其特征在于,上述网络服务器具有:生成至少包含该网络服务器的地址信息的服务器认证书发行请求的单元;将服务 器认证书发行请求发送到在注册机构设置的注册服务器中的单元;生成表示服务器认证书的发行申请意思的验证页,并在该验证页上显示用于认证本人的验证信息的验证页生成单元,上述注册服务器具备:接收从上述网络服务器发送过来的服务器认证书发行请求的单元;基于包含在所接收的服务器认证书发行请求中的地址信息,访问网络服务器的验证页,并读取在验证页上显示的验证信息的单元;对所读取的验证信息与服务器认证书发行请求中所包含的信息进行核对以验证是否制作有验证页的验证单元;生成公钥和私钥的密钥对的单元;生成包含所生成的公钥的CSR的单元;将所生成的CSR发送到认证书发行服务器上的单元;接收从认证书发行服务器发送过来的服务器认证书的单元;将所接收的服务器认证书发送到上述网络服务器上的服务器认证书发送单元,
只在上述验证单元的验证结果是制作有验证页的情况下,上述注册服务器将CSR发送到认证书发行服务器上。
在以往的服务器认证书发行系统中,利用电子邮件或电话等进行了本人确认,因此存在安全上的问题。例如,在利用电子邮件或电话来确认本人的方式中,虽然能够确认申请人的意思,但不能确认服务器认证书的对象即网络服务器的实有性。这样则存在安全上的问题。而且,在由电子邮件或电话或本人限定邮寄的确认方法中,负责人必须进行手工作业,而成为实现自动化上的大障碍。此外,访问域名注册机构而确认网络服务器的实有性时,导致手续变得极其烦杂。因此,本发明的目的在于,实现安全性进一步提高并且可使计算机系统自动化的服务器认证书发行系统。
为了达到上述目的,本发明的服务器认证书发行系统中,以如下的构成要件为必要事项。
(a)网络服务器,对应于向注册机构发送的服务器认证书发行请求,在服务器认证书的对象即网络服务器上制作用于确认本人的验证页,并在验证页上显示验证信息。
(b)在注册机构侧,在接收到服务器认证书发行请求时,基于服务器认证书发行请求中包含的地址信息来访问网络服务器的验证页,读取所显示的验证信息,并通过对读取到的验证信息和服务器认证书发行请求中所包含的信息(例如,被加密的随机的验证数据)进行核对来验证验证页和服务器认证书发行请求之间的对应关系,确认验证页的真实性。 在此重要的是,不仅仅是从网络服务器的验证页读取验证信息,还应通过对所读取的验证信息与服务器认证书发行请求中所包含的信息进行核对来确认验证页的真实性。即,设置于注册机构的注册服务器,基于服务器认证书发行请求中包含的地址信息,访问网络服务器的验证页并读取验证信息,这样能够确认服务器认证书的对象即网络服务器的实有性。但是,仅此无法确认到验证页的真实性。相对于此,如果将从验证页读取到的验证信息与服务器认证书发行请求中所包含的信息进行核对,则能够掌握服务器认证书发行请求和验证页之间的对应关系,其结果能够确认验证页的真实性。进而,还可以进行服务器认证书的发行请求的意思即本人确认。
进而,作为注册机构侧的本人认证方法,通过访问验证页并对所读取的验证信息和服务器认证书发行请求中包含的信息进行核对,而能够在注册机构设置的计算机系统(注册服务器)中自动地进行本人认证,能够使服务器认证书发行系统整体全自动化。即,服务器认证书发行请求中包含的信息是电子数据,从验证页读取的验证信息也是电子数据。从而,在计算机系统中,通过比较获取路径不同的两个电子数据彼此,而能够使本人认证的过程自动化。
这样,本申请发明的主旨在于,(a)在发送服务器认证书发行请求时,在网络服务器中形成验证页、(b)在注册服务器中,访问网络服务器的验证页而读取验证信息、(c)对所读取的验证信息和服务器认证书发行请求中包含的信息进行核对的这三个构成要件互相作用,从而首次实现安全上的提高及服务器认证书发行系统的自动化的目的,只要缺少这些构成要件中的一个,则不能实现本申请发明的目的。
本发明的服务器认证书发行系统的优选实施例,网络服务器具有生成验证数据的验证数据生成单元,上述验证页生成单元在验证页上显示由验证数据生成单元生成的验证数据作为验证信息,上述服务器认证书发行请求生成单元生成包含有所生成的验证数据的服务器认证书发行请求,
上述注册服务器的验证单元,对从验证页读取到的验证信息和包含在服务器认证书发行请求中的验证数据进行核对,并验证是否制作有验证页。作为验证数据,可以采用基于随机数生成的随机的验证数据。
作为验证页生成方法,也可以利用事先预定的规则或加密运算式来 生成随机验证页。例如,将结合FQDN(服务器的通用名称)、认证书申请ID、用户ID、申请日期等由认证书发行请求唯一确定下来的信息,并利用加密运算(例如散列函数SHA-1)散列的数据作为随机验证页的内容来生成。网络服务器在生成随机验证页后,将随机验证页的URL信息(名称)包含在认证书发行请求中发送,通知注册服务器。
注册服务器获取在认证书发行请求中所包含的随机验证页的URL信息(名称),生成包含有FQDN(服务器的通用名称)的URL,并利用http协议来读入随机验证页。通过读入随机验证页,确认网页的实有性。通过验证如下两种运算结果的数据的完全一致性,即随机验证页的内容以及利用事先预定的规则或加密运算式运算出的运算结果,和例如将FQDN(服务器的通用名称)、认证书申请ID、用户ID、申请日期利用散列函数SHA-1散列运算而得的运算结果,而能够确认随机验证页的真实性。
根据本发明的服务器认证书发行系统的另一优选实施例中,其特征在于,网络服务器具有生成密码的密码生成单元,上述服务器认证书发行请求生成单元生成包含有所生成的密码的服务器认证书发行请求,
注册服务器的服务器认证书发送单元,利用上述服务器认证书发行请求中包含的密码,对服务器认证书及对应的私钥进行加密,并将被加密的服务器认证书及私钥下载到上述网络服务器上。本发明中,从认证书发行服务器发行的服务器认证书及私钥,通过服务器认证书发行请求中包含的密码被加密,从注册服务器下载到网络服务器上,因此在确保安全的环境下,被下载到网络服务器上。
本发明的服务器认证书发行系统的另一优选实施例中,其特征在于,网络服务器具有对所生成的密码进行加密的单元,上述服务器认证书发行请求生成单元生成包含有被加密的密码的服务器认证书发行请求,
上述注册服务器具有对服务器认证书发行请求中所包含的被加密过的密码进行解密的单元,并利用被解密了的密码对服务器认证书及对应的私钥进行加密。
在本发明的服务器认证书发行系统的优选实施例中,其特征在于, 网络服务器具有针对注册服务器询问认证书的发行状况的状态核对单元,并以上述申请ID作为密钥针对注册服务器周期性地执行状态核对。网络服务器与注册服务器之间通过请求与答复成对的SOAP接口来结合,通过由SSL通信进行的加密通信和牢固的认证来确保安全。随机验证页的验证结果,作为认证书发行请求的答复,即时地返回到网络服务器中。FQDN的输入错误等在申请的时刻被通知。
本发明的服务器认证书发行系统的另一优选实施例中,其特征在于,网络服务器主要具有进行网页及邮件的设定及管理的控制面板,在控制面板上安装有:生成用于输入上述服务器认证书的发行申请信息的输入画面的单元;密码生成单元;验证页生成单元;服务器认证书发行请求生成单元;状态核对单元。
本发明中,能够在搭载于网络服务器上且主要执行网页及邮件的设定及管理的控制面板的控制下,进行服务器认证书的发行管理。特别是,本发明中采用的控制面板安装有:生成用于输入服务器认证书的发行申请信息的输入画面的单元;密码生成单元;验证页生成单元;服务器认证书发行请求生成单元;状态核对单元,因此,通过有效利用这些单元能够将从服务器认证书的发行申请到所发生的服务器认证书的安装为止的处理作为一连串的处理自动地执行。
在本发明的服务器认证书发行系统的另一优选实施例中,其特征在于,注册服务器具有:接收从认证书发行服务器发送过来的服务器认证书的单元;将所接收的服务器认证书保存在下载区域中的单元;针对从上述网络服务器发送过来的认证书状态核对进行答复的单元;将保存在下载区域中的服务器认证书下载到网络服务器上的下载单元,该注册服务器,在将接收到来自网络服务器的认证书状态核对时对应的服务器认证书保存到下载区域中的情况下,作为针对该状态核对的答复,将保存在下载区域中的服务器认证书下载到网络服务器上,并作为一连串的处理自动地执行从服务器认证书的发行申请到将所发行的服务器认证书下载到网络服务器上的处理。
根据本发明,注册服务器在接收到服务器认证书发行请求时,访问由FQDN指定的网络服务器,读取显示在随机验证页上的验证信息,并对于所读取的验证信息和服务器认证书发行请求中所包含的申请信息进行核对,由此判断验证页的真实性,因此,能够可确认成为服务器 认证书的发行对象的网络服务器的实有性,而且还可确认服务器管理者的服务器认证书的发行请求的意思。其结果,与以往的域名认证方法相比,能够确保更高的安全性。
进而,能够将从服务器认证书的发行申请到所发行的服务器认证书的安装为止的处理作为自动化的一连串处理执行。
进而,由于由注册服务器制作密钥对及CSR,因此能够减轻用户的手续上的负担。
附图说明
图1是表示本发明的服务器认证书发行系统的整体构成的线图。
图2是表示本发明的网络服务器的一例的线图。
图3是表示安装在网络服务器上的SSL认证书发行管理程序的一例的线图。
图4是表示注册服务器的计算机系统的一例的线图。
图5是表示网络服务器、注册服务器及认证书发行服务器之间的一连串的操作及处理的图。
图6是表示安装在网络服务器上的SSL认证书发行管理程序的变形例的线图。
图7是表示注册服务器的计算机系统的变形例的线图。
其中,附图标记说明如下:
1网络,10注册服务器,11认证书发行服务器,20、40通信单元,21控制面板,22邮件功能部,23网页(web)功能部,24数据库,25SSL认证书发行管理程序,30输入画面信息生成单元,31验证数据生成单元,32验证页生成单元,33服务器认证书发行请求生成单元,34密码生成单元,35加密单元,36保存区域,37状态核对单元,38下载请求单元,39服务器认证书保存单元,40解密单元,41安装单元,51服务器认证书发行请求接收单元,52ID赋予单元,53存储单元,54审查单元,55验证数据获取单元,56验证单元,57URL 生成单元,58验证信息读取单元,59认证书发行请求答复单元,60密码获取单元,61密码解密单元,62密钥对生成单元,63CSR生成单元,64CSR发送单元,65服务器认证书接收单元,66服务器认证书加密单元,67下载区域,68认证书状态核对接收单元,69状态答复发送单元,70认证书下载要求接收单元,71服务器认证书下载单元。
具体实施方式
图1是表示本发明的服务器认证书发行系统的整体构成的线图。在网络1上连接有处于主机服务商的管理下的n台网络(Web)服务器-1~网络服务器-n,此外还连接有主机服务商以外的服务商所属的其它网络服务器-m。处于主机服务商的管理下的网络服务器-1~n,经由网络1及各终端-1~n,分别被对各网络服务器有使用权限的服务器使用者利用。此外,网络服务器-m经由网络1及其它终端-m被该服务器的管理者管理。进而,网络1上连接有受理服务器认证书的发行请求的设置在注册机构中的注册服务器10。进而,注册服务器10经由网络与设置在发行机构(IA)的认证书发行服务器11连接,认证书发行服务器11接收从注册服务器10发送过来的签名请求文件(CSR),进行数字签名并发行服务器认证书。所发行的服务认证书被发送到注册服务器10,并经由网络被下载到网络服务器上。
本例中,在网络服务器上所搭载的控制面板上安装有从服务器认证书的发行请求至所发行的认证书的下载为止的功能。各网络服务器上,安装有主要进行网页及邮件的设定及管理的控制面板,本例中在控制面板的控制下进行SSL认证书的发行及管理。例如,在网络服务器1的管理者希望发行服务器认证书时,该管理者经由终端-1及网络对自己管理的网络服务器1进行访问,并显示控制面板的菜单。从所显示的菜单中点击菜单“SSL认证书的发行”。当菜单“SSL认证书的发行”被点击时,控制面板显示用于输入服务认证书的申请信息的输入画面。作为服务器认证书的申请信息,至少包括以下信息。
A该网络服务器的通用名称(FQDN:Fully Qualified DomainName:正式域名)或IP地址
B申请管理者的姓名及电子邮件地址
C认证书的有效开始日及有效期间
当完成必要的申请信息的输入时,控制面板判断为进行了服务器认证书发行请求,生成服务器认证书发行请求。所生成的服务器认证书发行请求经由网络被发送到注册服务器10,在注册服务器中进行包括本人确认的审查。在该认证书发行请求满足规定条件时,注册服务器10生成私钥和公钥的密钥对,进而生成包含公钥的CSR,所生成的CSR经由网络被发送到设置在发行机构的认证书发行服务器11中。认证书发行服务器进行数字签名并制作服务器认证书。所制作的服务器认证书被发送到注册服务器10,并被保存到下载区域中,注册服务器将下载完成的信息通知给网络服务器1。网络服务器1的控制面板,当接收下载通知时,向注册服务器请求进行下载,并安装所下载的服务器认证书。即,本例中,在由网络服务器的管理者输入认证书发行请求后,在网络服务器上安装的控制面板的控制下,执行作为从认证书的发行申请至服务器认证书的安装为止的一连串的处理。因此,服务器认证书的发行处理被自动化,大幅度地减轻了用户的负担。并且,在网络服务器与注册服务器之间的通信,确立了被加密的对话时间,在被加密的通信环境下进行数据的收发。
图2是表示本发明的网络服务器的一例的构成的线图。网络服务器具有通信单元20,经由通信单元20来进行与用户终端之间的通信。而且,网络服务器具有控制面板21,利用控制面板21来进行邮件及网页的设定及管理。从而,利用控制面板21来进行邮件功能部22及网页功能部23的设定及管理。网络服务器中安装有应用程序1~3,还安装有数据库24。
控制面板21上,设置有SSL认证书发行管理程序25,在该SSL认证书发行管理程序25的控制下,进行从服务器认证书的发行申请至所发行的服务器认证书的安装为止的一连串的处理。
图3是表示控制面板21的SSL认证书发行管理程序25的功能的线图。本例中,作为用于确认本人的验证信息,采用随机的验证数据。当有来自该网络服务器的管理者的用于发行认证书的访问时,输入画面生成单元30启动,在显示器上显示用于输入发行认证书所需的申请信息的输入画面。当完成由服务器管理者的申请信息的输入时,验证数据生成单元31动作,生成随机的验证数据。该验证数据是用于确认本人的 验证信息,例如基于随机数生成随机数据。所生成的验证数据被提供给验证页生成单元32及服务器认证书发行请求生成单元33。验证页生成单元32制作作为认证书发行的申请意思显示的验证页,并作为验证信息显示验证数据。
随着申请信息输入的完成,密码生成单元34动作,生成用于对所下载的服务器认证书进行加密的密码。该密码被提供给加密单元35并保存在保存区域36中。保存区域36中保存的密码用于对从注册服务器下载的服务器认证书进行解密。加密单元35利用注册服务器的公钥对所生成的密码进行加密,生成加密后的密码。被加密过的密码被发送到服务器认证书发行请求生成单元33。在网络服务器与注册服务器之间设定有被加密的对话时间,为了确保安全性,即使不使用未被加密的密码,也能够确保一定程度的安全性。从而,也可以使用未被加密的密码。此时,将由密码生成单元34生成的密码直接提供给服务器认证书发行请求生成单元。
申请信息中所包含的该网络服务器的通用名称(FQDN:FullyQualified Domain Name)、申请管理者的姓名及电子邮件地址、以及认证书的有效开始日及有效期间等信息,被发送到服务器认证书发行请求生成单元33。服务器认证书发行请求生成单元33生成包含验证数据及被加密的密码的服务器认证书发行请求,并经由通信单元20及网络1发送到设置在注册机构的注册服务器10中。并且,本例中,验证页的URL在注册服务器侧生成。
该SSL发行管理程序,具有向注册服务器询问认证书的发行状况的状态核对单元37,针对发送了服务器认证书发行请求后的注册服务器10,周期性地核对认证书的发行状况,并且接收来自注册服务器的答复。而且,具有服务器认证书下载请求单元38,在从注册服务器通知下载后,针对注册服务器进行下载的请求。所下载的服务器认证书保存在服务器认证书保存单元39中。
图4是表示设置在注册机构的注册服务器10的计算机系统的一例的线图。从网络服务器发送的认证书发行请求,经由通信单元50被认证书发行请求接收单元51接收。所接收到的认证书发行请求,通过ID赋予单元52赋予申请ID,并被暂时存储在存储单元53中。存储单元中暂时存储的认证书发行请求依次被读出,并由审查单元54进行审查, 进行是否包含规定申请事项的格式的检查。在未包含有规定的事项时,作为错误来处理。
然后,验证数据获取单元55动作,从接收到的服务器认证书发行请求获取验证数据并发送到验证单元56。从申请信息获取FQDN,并发送到URL生成单元57。URL生成单元57生成网络服务器中所形成的验证页的URL信息。该URL信息的生成,是利用申请信息中所包含的FQDN和页名称(页地址信息)来生成验证页的URL。所生成的URL被发送到验证信息读取单元58。验证信息读取单元58访问由所生成的URL指定的网络服务器的验证页,读取所显示的验证信息,并发送到验证单元56。
验证单元56对从服务器认证书发行请求获取了的验证数据和从网络服务器的验证页读取到的验证信息进行核对,确认是否相互一致。在不一致时,作为错误来处理,从认证书发行请求答复单元59向网络服务器进行错误发送。另一方面,在所获取的验证数据和从网络服务器读取到的验证信息一致时,视为该服务器认证书发行请求有效,并经由认证书发行请求答复单元59向网络服务器发送受理完成的通知。
此外,密码获取单元60动作,从存储单元53中所存储的服务器认证书发行请求中获取密码。该密码被发送到密码解密单元61。
作为验证结果,在判断为所接收到的服务器认证书发行请求是有效的时,密钥对生成单元62动作并生成公钥和私钥的密钥对。所生成的公钥被提供给CSR生成单元64,而生成包含公钥的CSR。所生成的CSR从CSR发送单元63经由通信单元50及网络而被发送到设置在发行机构(IA)的认证书发行服务器11。
认证书发行服务器11,当接收从注册服务器发送来的CSR时,进行数字签名而生成服务器认证书(SSL认证书),并经由网络发送到注册服务器。
注册服务器利用服务器认证书接收单元65接收从认证书发行服务器发送来的服务器认证书,并将其提供给服务器认证书加密单元66。由密码获取单元60获取的被加密了的密码被提供给密码解密单元61,并利用与该注册服务器的公钥成对的私钥进行解密。被解密的密码提供给 服务器认证书加密单元66。此外,由密钥对生成单元62生成的私钥也提供给服务认证书加密单元66。服务器认证书加密单元66,对于接收到的服务器认证书及私钥,利用被解密的密码,加密变换成由被称作Pkcs(Public-Key Cryptography Standards:公钥加密标准)#12的国际标准决定的文件形式。并且,对向Pkcs12形式的加密以及由Pkcs12形式的解密,作为标准的程序库在网络服务器上搭载为Java(注册商标)的标准开发环境及Windows(注册商标)的标准开发环境。从而,被加密的服务器认证书及私钥,能够在网络服务器中利用密码来进行解密。被加密的服务器认证书及私钥保存在下载区域67中。并且,在采用未被加密的密码时,不需要密码解密单元61。
注册服务器具有接收从网络服务器发送来的认证书的状态核对的单元68。状态核对接收单元68,当接收来自网络服务器的状态核对时,以所赋予的申请ID作为密钥,确认在下载区域67中是否保存有服务器认证书。在未保存服务器认证书时,经由状态答复发送单元69对网络服务器进行未完成通知。在保存有服务器认证书时,经由状态答复发送单元发送下载通知。由认证书下载请求接收单元70来接收来自网络服务器的下载请求。当接收到来自网络服务器的下载请求时,该服务器认证书利用服务器认证书下载单元71并经由网络被下载到该网络服务器中。
并且,在接收到来自网络服务器的状态核对的时刻,在下载区域中保存有服务器认证书时,作为状态答复,也可以经由状态答复发送单元69下载该服务器认证书。
参照图3,被下载到网络服务器上的Pkcs12形式的服务器认证书及私钥,被保存在服务器认证书保存单元39中。被保存的服务器认证书被提供给解密单元40,利用保存在保存区域36中的密码而解密为服务器认证书和私钥。在解密时,解密单元40利用与注册服务器的加密变换程序对应的解密变换程序来进行解密。被解密的服务器认证书通过安装单元41被安装。并且,私钥被严格管理。在网络服务器为微软公司的互联信息服务(IIS)时,通过直接提供与Pkcs12形式的服务器认证书对应的密码能够进行安装。
图5是表示网络服务器、注册服务器及认证书发行服务器之间的从服务器认证书的发行申请至服务器认证书被下载为止的处理程序的线图。网络服务器的管理者或具有使用权利的人,在服务器认证书的发行申请时,对自己管理的网络服务器进行访问,显示输入画面,输入规定的申请事项。网络服务器在控制面板的控制下,生成被加密的密码及随机的验证数据,并且生成服务器认证书发行请求。然后,制作验证页,在验证页上显示随机的验证数据。服务器认证书发行请求经由网络被发送到注册服务器10。
注册服务器开始进行格式的检查,在输入信息有误时,进行错误发送。然后,访问网络服务器的随机验证页,读取验证信息,对读取到的验证信息和服务器认证书发行请求中包含的验证数据进行核对来进行验证。验证的结果,在读取到的验证信息与验证数据不一致时,进行错误发送。在一致时,向该网络服务器发送受理完成通知。进而,生成密钥对,生成包含公钥的CSR,将生成的CSR发送到认证书发行服务器11。
认证书发行服务器,对于接收到的CSR进行数字签名而生成服务器认证书,将生成的服务器认证书发送到注册服务器。
注册服务器对于服务器认证书发行请求中包含的被加密的密码进行解密。然后,利用解密了的密码,将所接收到的服务器认证书及所生成的私钥加密成Pkcs12形式。被加密成Pkcs12形式的服务器认证书及私钥保存在下载区域中。
注册服务器接收从网络服务器周期性地发送来的状态核对,确认在下载区域中是否保存有服务器认证书,在未保存时,作为答复,向网络服务器发送未完成通知。在下载区域中保存有服务器认证书时,作为状态核对的答复,进行下载通知。网络服务器当接收下载通知时,对注册服务器发送下载请求。注册服务器根据接收到的下载请求,将相应的服务器认证书下载到网络服务器中。
网络服务器在控制面板的控制下,对所下载的服务器认证书进行安装。即,利用密码对所下载的服务器认证书及私钥进行解密,将私钥保存在管理区域中,并且利用安装单元37安装服务器认证书。并且,在不希望所发行的服务器认证书的下载及安装的自动化时,也可以在接收到来自注册服务器的下载通知后,利用其它单元来进行下载及安装。
这样,在本发明的服务器认证书发行系统中,仅通过网络服务器的管理者或具有使用权限的人在输入画面上输入发行服务器认证书所需的事项,而能够自动地执行直到服务器认证书的安装为止的处理,从而大幅度地减轻了管理者的手续上的负担。
图6及图7是表示本发明的服务器认证书发行系统的变形例的图,图6是表示网络服务器的计算机系统的线图,图7是表示注册服务器的计算机系统的线图。并且,对与图3及图4中采用的构成要素相同的构成要素赋予相同附图标记来进行说明。用于认证本人的验证信息不限于从随机数中生成的随机的验证数据,也可以采用网络服务器特有的各种信息或数据。本例中,作为验证信息,采用该网络服务器的FQDN和申请日期,利用注册服务器的公钥将这些信息进行加密,并将所生成的加密数据作为验证信息来使用。参照图6,从输入到输入画面信息生成单元30的申请信息中,将该网络服务器的FQDN及申请日期提供给验证数据生成单元31。验证数据生成单元31利用公钥对该网络服务器的FQDN及申请日期进行加密而生成验证数据。所生成的验证数据被发送到验证页生成单元32并在验证页上显示验证信息。
进而,本例中,在网络服务器侧制作验证页的URL。申请信息中所包含的FQDN被发送到URL生成单元80中,生成验证页的URL信息。URL生成单元80利用申请信息中所包含的FQDN和页名称(网页地址信息)生成随机验证页的URL。所生成的URL被发送到服务器认证书发行请求生成单元33。服务器认证书发行请求生成单元33向注册服务器发送包含随机验证页的URL的服务器认证书发行请求。
参照图7,在注册服务器中,FQDN及日期获取单元90从服务器认证书发行请求中获取FQDN及日期,并将其发送到加密单元91。加密单元91利用注册服务器的公钥对FQDN及日期进行加密并发送到验证单元56。由URL获取单元92获取服务器认证书发行请求中所包含的随机验证页的URL,并发送到验证信息读取单元58。验证信息读取单元58访问由服务器认证书发行请求中所包含的URL指定的网络服务器的验证页,读取验证信息,并将所读取的验证信息发送到验证单元56。验证单元56对从网络服务器的随机验证页中读取到的验证信息和从加密单元发送来的加密数据进行核对来进行验证。作为验证结果,在加密数据和从网络服务器读取到的验证信息一致时,判断为成为服务器认证 书的对象的网络服务器实际存在,继续进行之后的处理。这样,作为验证信息,即使采用各种被加密的信息,也能够确保安全。
在访问互联网时,服务器的通用名称(FQDN)被变换成IP地址,电文被固定于成为目标对象的服务器中。担负这些通用名称和IP地址之间的变换(映射(mapping))的是DNS。映射信息由管理其域名的被称作主服务器DNS的计算机严格管理,被依次传输到互联网上分散配置的多个DNS缓存服务器中。关于IP地址的变换,从最近的DNS缓存服务器开始进行询问。变为原始的DNS被极其牢固地管理,因此缓存服务器可以成为黑客的攻击对象。
在本发明的服务器认证书的发行系统中,在读入URL的随机验证页时,确认能够取得的网络服务器的IP地址是否与(1)直接询问WhoisDB上所注册的管理该域名的DNS、即主服务器DNS及次服务器DNS而取得的IP地址,或者(2)直接询问可信任的第三机构管理、运营的DNS而取得的IP地址一致。由此,通过直接询问检测以DNS缓存服务器为对象的DNS信息的改写攻击的原始的DNS,或者询问管理严格的第三主要DNS,来检测出局部的DNS的感染。从而,使得对从通用名称到IP地址的变换和从IP地址到通用名称的变换为里外一体的确认,在提高安全的方面变得更有效。
从而,在确认随机验证页的IP地址和发送认证书的发行申请的网络服务器的IP地址之间的一致性的同时,确认例如页验证时的随机验证页的IP地址和向管理作为Whois信息注册的该域名的DNS及可信任的第三DNS的直接询问结果之间的一致性,由此,进一步提高安全。即,注册服务器具有:直接访问对于存储有域名和IP地址之间的关系的数据库进行管理的主域名服务器(DNS)而在网络服务器取得与域名对应的IP地址的单元;对取得的IP地址和随机验证页的IP地址进行核对的单元。在这些IP地址不一致时,可以将该服务器认证书发行请求作为错误来处理。
并且,将验证随机验证页时的IP地址/URL名作为日志履历来保存,与控制面板侧的日志履历一起,对于不实行的原因解析非常有用。
本发明不仅限定于上述的实施例,可以进行各种变更或变形。上述的实施例中,对在由主机服务商出借的网络服务器中进行认证书的发行 请求的例子进行了说明,但本发明可适用于所有的网络服务器中。此时,具有网络服务器的所有权的服务商进行网络认证书的发行申请时,能够经由自己的网络服务器进行认证书的发行申请。
此外,在上述的实施例中,对于在控制面板上安装有输入画面信息输入单元、密码生成单元及验证页生成单元的实施例进行了说明,但也可以适用于这些单元被安装于网络服务器中,而未安装于控制面板上的场合。
进而,在上述的实施例中,对于单人管理一台网络服务器的场合进行了说明,但也可以适用于由多人共同使用一台网络服务器的共用形的网络服务器中。
进而,在上述的实施例中,在搭载于网络服务器中的控制面板的控制下,进行从服务器认证书的发行申请到认证书的安装为止的处理。但是,也可以将上述的SSL认证书发行管理程序直接构筑于网络服务器中,或者通过插件方式作为附加功能构筑于网络服务器中。
Claims (16)
1.一种服务器认证书发行系统,具备:注册服务器,其设置于注册机构,并经由网络接收从网络服务器发送过来的服务器认证书发行请求,进行规定的审查并将签名请求文件CSR发送到发行机构;认证书发行服务器,其设置于发行机构,并接收从注册服务器发送过来的CSR,进行数字签名而生成服务器认证书,将所生成的服务器认证书发送到上述注册服务器上,其特征在于,
上述网络服务器具有:生成至少包含该网络服务器的地址信息的服务器认证书发行请求的单元;将服务器认证书发行请求发送到在注册机构设置的注册服务器中的单元;生成验证页并在该验证页上显示用于认证本人的验证信息的验证页生成单元,
上述注册服务器具备:接收从上述网络服务器发送过来的服务器认证书发行请求的单元;基于包含在所接收的服务器认证书发行请求中的地址信息,访问网络服务器的验证页,并读取在验证页上显示的验证信息的单元;对所读取的验证信息与服务器认证书发行请求中所包含的信息进行核对以验证是否制作有验证页的验证单元;生成公钥和私钥的密钥对的单元;生成包含所生成的公钥的CSR的单元;将所生成的CSR发送到认证书发行服务器上的单元;接收从认证书发行服务器发送过来的服务器认证书的单元;将所接收的服务器认证书发送到上述网络服务器上的服务器认证书发送单元,
只在上述验证单元的验证结果是制作有验证页的情况下,上述注册服务器将CSR发送到认证书发行服务器上。
2.根据权利要求1所述的服务器认证书发行系统,其特征在于,上述网络服务器具有生成验证数据的验证数据生成单元,上述验证页生成单元在验证页上显示由验证数据生成单元生成的验证数据作为验证信息,上述服务器认证书发行请求生成单元生成包含所生成的验证数据的服务器认证书发行请求,
上述注册服务器的验证单元,对从验证页读取到的验证信息和包含在服务器认证书发行请求中的验证数据进行核对以验证是否制作有验证页。
3.根据权利要求2所述的服务器认证书发行系统,其特征在于,上述验证数据生成单元基于随机数生成随机的验证数据。
4.根据权利要求2所述的服务器认证书发行系统,其特征在于,上述验证数据生成单元,利用预先设定的加密运算式对包含在服务器认证书发行请求中的一部分的申请信息进行加密运算,而生成被加密的验证数据;验证页生成单元,在验证页上显示上述被加密的验证数据作为验证信息;上述注册服务器的验证单元,利用上述预先设定的加密运算式对所接收的服务器认证书发行请求中包含的一部分信息执行加密运算,对所生成的加密数据和从验证页读取到的验证信息进行核对以验证是否制作有验证页。
5.根据权利要求1~4中任意一项所述的服务器认证书发行系统,其特征在于,上述网络服务器具有生成密码的密码生成单元,上述服务器认证书发行请求生成单元生成包含有所生成的密码的服务器认证书发行请求,
注册服务器的服务器认证书发送单元,利用上述服务器认证书发行请求中所包含的密码,对服务器认证书及对应的私钥进行加密,并将被加密过的服务器认证书及私钥下载到上述网络服务器上。
6.根据权利要求5所述的服务器认证书发行系统,其特征在于,上述网络服务器具有对所生成的密码进行加密的单元,上述服务器认证书发行请求生成单元生成包含有被加密过的密码的服务器认证书发行请求,
上述注册服务器具有对于服务器认证书发行请求中所包含的被加密的密码进行解密的单元,并利用被解密的密码对服务器认证书及对应的私钥进行加密。
7.根据权利要求6所述的服务器认证书发行系统,其特征在于,上述被加密的密码利用注册服务器的公钥被加密。
8.根据权利要求1所述的服务器认证书发行系统,其特征在于,作为上述服务器认证书发行请求中所包含的网络服务器的地址信息,采用该网络服务器的IP地址、通用名称或随机验证页的URL信息。
9.根据权利要求8所述的服务器认证书发行系统,其特征在于,上述注册服务器的验证信息读取单元,访问服务器认证书发行请求中所包含的验证页的URL,并读取验证信息。
10.根据权利要求9所述的服务器认证书发行系统,其特征在于,上述注册服务器具有利用服务器认证书发行请求中所包含的网络服务器的通用名称或IP地址、和验证页的名称来生成随机验证页的URL的单元,并访问由所生成的URL指定的网络服务器的随机验证页来读取验证信息。
11.根据权利要求1所述的服务器认证书发行系统,其特征在于,上述网络服务器具有针对注册服务器询问认证书的发行状况的状态核对单元,并以被赋予的申请ID作为密钥对注册服务器周期性地执行状态核对。
12.根据权利要求11所述的服务器认证书发行系统,其特征在于,上述注册服务器还具有:将从认证书发行服务器发送过来的服务器认证书保存在下载区域中的单元;针对从上述网络服务器发送过来的认证书状态核对进行答复的单元;将保存在下载区域中的服务器认证书下载到网络服务器上的下载单元,
该注册服务器,在接收到以上述申请ID为密钥的来自网络服务器的认证书状态核对时,确认对应的服务器认证书是否保存在下载区域中,在保存有服务器认证书时,作为针对该状态核对的答复,将保存在下载区域中的服务器认证书下载到网络服务器上,并将从服务器认证书的发行申请至将所发行的服务器认证书下载到网络服务器为止的处理作为一连串的处理自动地执行。
13.根据权利要求11所述的服务器认证书发行系统,其特征在于,上述网络服务器主要具有进行网页及邮件的设定及管理的控制面板,在控制面板上安装有:生成用于输入上述服务器认证书的发行申请信息的输入画面的单元;密码生成单元;验证页生成单元;服务器认证书发行请求生成单元;状态核对单元。
14.根据权利要求1所述的服务器认证书发行系统,其特征在于,上述网络服务器处于主机服务商的管理下。
15.根据权利要求14所述的服务器认证书发行系统,其特征在于,具有网络服务器的使用权限的用户,经由终端及网络访问自己的网络服务器,调出用于输入服务器认证书的发行申请信息的输入画面,并在输入画面上输入必要的申请事项。
16.根据权利要求1所述的服务器认证书发行系统,其特征在于,上述注册服务器还具有:直接访问对存储有域名和IP地址之间的关系的数据库进行管理的主域名服务器而取得与上述网络服务器的域名对应的IP地址的单元;对所取得的IP地址和随机验证页的IP地址进行核对的单元,在这些IP地址相互不一致时,将服务器认证书发行请求作为错误来处理。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007-168777 | 2007-06-27 | ||
| JP2007168777 | 2007-06-27 | ||
| JP2007-262485 | 2007-10-05 | ||
| JP2007262485A JP4128610B1 (ja) | 2007-10-05 | 2007-10-05 | サーバ証明書発行システム |
| PCT/JP2008/061541 WO2009001855A1 (ja) | 2007-06-27 | 2008-06-25 | サーバ証明書発行システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101828358A CN101828358A (zh) | 2010-09-08 |
| CN101828358B true CN101828358B (zh) | 2012-07-04 |
Family
ID=40185668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801008408A Expired - Fee Related CN101828358B (zh) | 2007-06-27 | 2008-06-25 | 服务器认证书发行系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8234490B2 (zh) |
| EP (1) | EP2154817B1 (zh) |
| JP (1) | JP4494521B2 (zh) |
| CN (1) | CN101828358B (zh) |
| WO (1) | WO2009001855A1 (zh) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100325687A1 (en) * | 2009-06-22 | 2010-12-23 | Iverson Gyle T | Systems and Methods for Custom Device Automatic Password Management |
| US9160545B2 (en) * | 2009-06-22 | 2015-10-13 | Beyondtrust Software, Inc. | Systems and methods for A2A and A2DB security using program authentication factors |
| US8863253B2 (en) | 2009-06-22 | 2014-10-14 | Beyondtrust Software, Inc. | Systems and methods for automatic discovery of systems and accounts |
| US8713325B2 (en) | 2011-04-19 | 2014-04-29 | Authentify Inc. | Key management using quasi out of band authentication architecture |
| US8788811B2 (en) * | 2010-05-28 | 2014-07-22 | Red Hat, Inc. | Server-side key generation for non-token clients |
| US9137017B2 (en) * | 2010-05-28 | 2015-09-15 | Red Hat, Inc. | Key recovery mechanism |
| US20110296171A1 (en) * | 2010-05-28 | 2011-12-01 | Christina Fu | Key recovery mechanism |
| JP5591037B2 (ja) * | 2010-09-14 | 2014-09-17 | パナソニック株式会社 | 電子情報導入システム、端末装置、サーバ装置、電子情報導入方法およびプログラム |
| US9832183B2 (en) | 2011-04-19 | 2017-11-28 | Early Warning Services, Llc | Key management using quasi out of band authentication architecture |
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US8745378B1 (en) * | 2012-03-12 | 2014-06-03 | Certified Security Solutions, Inc. | System and method for validating SCEP certificate enrollment requests |
| US8738911B2 (en) * | 2012-06-25 | 2014-05-27 | At&T Intellectual Property I, L.P. | Secure socket layer keystore and truststore generation |
| US8707027B1 (en) | 2012-07-02 | 2014-04-22 | Symantec Corporation | Automatic configuration and provisioning of SSL server certificates |
| CN103139201B (zh) * | 2013-01-22 | 2015-12-23 | 中兴通讯股份有限公司 | 一种网络策略获取方法及数据中心交换机 |
| US8782774B1 (en) | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9178888B2 (en) * | 2013-06-14 | 2015-11-03 | Go Daddy Operating Company, LLC | Method for domain control validation |
| US9521138B2 (en) | 2013-06-14 | 2016-12-13 | Go Daddy Operating Company, LLC | System for domain control validation |
| US9300623B1 (en) * | 2014-02-18 | 2016-03-29 | Sprint Communications Company L.P. | Domain name system cache integrity check |
| CN104917740B (zh) * | 2014-03-14 | 2018-09-04 | 中国移动通信集团广东有限公司 | 一种密码重置方法、密码验证方法及装置 |
| US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| JP6521640B2 (ja) * | 2015-01-14 | 2019-05-29 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
| CA3027909C (en) * | 2015-04-23 | 2021-08-31 | Unho Choi | Authentication in ubiquitous environment |
| US10791110B2 (en) * | 2015-07-09 | 2020-09-29 | Cloudflare, Inc. | Certificate authority framework |
| US10305871B2 (en) | 2015-12-09 | 2019-05-28 | Cloudflare, Inc. | Dynamically serving digital certificates based on secure session properties |
| CN105846996B (zh) * | 2016-03-17 | 2019-03-12 | 上海携程商务有限公司 | 服务器证书的自动部署系统及方法 |
| US10977361B2 (en) | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
| CN109474432B (zh) * | 2017-09-07 | 2021-11-02 | 西安西电捷通无线网络通信股份有限公司 | 数字证书管理方法及设备 |
| CN109741056B (zh) * | 2018-12-26 | 2023-06-16 | 中国银联股份有限公司 | 一种电子凭证上传的方法及装置 |
| CN110069941A (zh) * | 2019-03-15 | 2019-07-30 | 深圳市买买提信息科技有限公司 | 一种接口访问鉴权方法、装置及计算机可读介质 |
| GB2584018B (en) | 2019-04-26 | 2022-04-13 | Beyondtrust Software Inc | Root-level application selective configuration |
| CN110730162B (zh) * | 2019-09-16 | 2022-03-18 | 北京齐尔布莱特科技有限公司 | 一种页面的验证方法、移动终端、可读存储介质 |
| JP7352092B2 (ja) * | 2019-12-24 | 2023-09-28 | 富士通株式会社 | 制御方法、情報処理装置及び制御プログラム |
| US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
| CN111460405B (zh) * | 2020-03-17 | 2023-06-30 | 福建升腾资讯有限公司 | 一种柜外设备进入后台设置的方法、装置、设备和介质 |
| JP7102461B2 (ja) * | 2020-06-08 | 2022-07-19 | 一般財団法人日本情報経済社会推進協会 | 電子証明書導入・運用システム、電子証明書導入・運用方法、及び証明書申請装置 |
| CN112235267A (zh) * | 2020-09-29 | 2021-01-15 | 北京金山云网络技术有限公司 | 加载证书的方法、网页服务器、中继服务器、介质和系统 |
| TWI831515B (zh) * | 2022-12-13 | 2024-02-01 | 臺灣網路認證股份有限公司 | 自動化憑證申請與網域驗證系統及其方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1823513A (zh) * | 2003-07-17 | 2006-08-23 | 国际商业机器公司 | 用于升级到基于证书的认证而不打断现有ssl会话的方法和系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6035402A (en) * | 1996-12-20 | 2000-03-07 | Gte Cybertrust Solutions Incorporated | Virtual certificate authority |
| JPH10340253A (ja) | 1997-06-09 | 1998-12-22 | Chugoku Nippon Denki Software Kk | ホームページ情報の登録方法および装置 |
| US7346689B1 (en) * | 1998-04-20 | 2008-03-18 | Sun Microsystems, Inc. | Computer architecture having a stateless human interface device and methods of use |
| US6816900B1 (en) * | 2000-01-04 | 2004-11-09 | Microsoft Corporation | Updating trusted root certificates on a client computer |
| US7047409B1 (en) * | 2000-06-09 | 2006-05-16 | Northrop Grumman Corporation | Automated tracking of certificate pedigree |
| CN1602601B (zh) * | 2001-10-12 | 2010-09-08 | Geo信托有限公司 | 用于处理和发布数字证书的方法及其计算机系统 |
| AU2002230514A1 (en) | 2001-11-29 | 2003-06-17 | Morgan Stanley | A method and system for authenticating digital certificates |
| ITRM20020335A1 (it) * | 2002-06-14 | 2003-12-15 | Telecom Italia Mobile Spa | Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa. |
| US20050076200A1 (en) * | 2003-08-15 | 2005-04-07 | Imcentric, Inc. | Method for discovering digital certificates in a network |
| AU2005255513A1 (en) * | 2004-06-21 | 2005-12-29 | Echoworx Corporation | Method, system and computer program for protecting user credentials against security attacks |
| US20060143442A1 (en) * | 2004-12-24 | 2006-06-29 | Smith Sander A | Automated issuance of SSL certificates |
| US7987251B2 (en) * | 2005-09-16 | 2011-07-26 | Microsoft Corporation | Validation of domain name control |
-
2008
- 2008-06-25 CN CN2008801008408A patent/CN101828358B/zh not_active Expired - Fee Related
- 2008-06-25 US US12/452,255 patent/US8234490B2/en not_active Expired - Fee Related
- 2008-06-25 JP JP2009520614A patent/JP4494521B2/ja active Active
- 2008-06-25 EP EP08790608.7A patent/EP2154817B1/en not_active Not-in-force
- 2008-06-25 WO PCT/JP2008/061541 patent/WO2009001855A1/ja active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1823513A (zh) * | 2003-07-17 | 2006-08-23 | 国际商业机器公司 | 用于升级到基于证书的认证而不打断现有ssl会话的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张毅.基于SSL 的身份认证和访问控制实现原理.《商场现代化》.2007,(第496期),第78-79页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2154817A4 (en) | 2012-04-11 |
| CN101828358A (zh) | 2010-09-08 |
| EP2154817A1 (en) | 2010-02-17 |
| JPWO2009001855A1 (ja) | 2010-08-26 |
| WO2009001855A1 (ja) | 2008-12-31 |
| US20100111300A1 (en) | 2010-05-06 |
| EP2154817B1 (en) | 2013-09-04 |
| US8234490B2 (en) | 2012-07-31 |
| JP4494521B2 (ja) | 2010-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101828358B (zh) | 服务器认证书发行系统 | |
| CN101816149B (zh) | 服务器认证书发行系统 | |
| AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US8707031B2 (en) | Identity-based certificate management | |
| CN100534092C (zh) | 用于执行认证操作的方法及其装置 | |
| JP4503794B2 (ja) | コンテンツ提供方法及び装置 | |
| US7320073B2 (en) | Secure method for roaming keys and certificates | |
| US20040030887A1 (en) | System and method for providing secure communications between clients and service providers | |
| US20100058058A1 (en) | Certificate Handling Method and System for Ensuring Secure Identification of Identities of Multiple Electronic Devices | |
| CN101925920A (zh) | 服务器证书发行系统和本人认证方法 | |
| US20110055556A1 (en) | Method for providing anonymous public key infrastructure and method for providing service using the same | |
| JPWO2009050924A1 (ja) | 利用者認証システム及びその方法 | |
| CN106845986A (zh) | 一种数字证书的签章方法及系统 | |
| KR101007375B1 (ko) | 스마트 카드 인증서 관리 장치 및 방법 | |
| JP2010191801A (ja) | 認証システムおよび認証方法 | |
| JP2012181662A (ja) | アカウント情報連携システム | |
| JP2002132996A (ja) | 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム | |
| JP4730814B2 (ja) | ユーザ情報管理方法およびシステム | |
| Ahn et al. | Towards scalable authentication in health services | |
| IES85034Y1 (en) | Automated authenticated certificate renewal system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20200625 |