CN102792632B - 自动化证书管理 - Google Patents

自动化证书管理 Download PDF

Info

Publication number
CN102792632B
CN102792632B CN201180012917.8A CN201180012917A CN102792632B CN 102792632 B CN102792632 B CN 102792632B CN 201180012917 A CN201180012917 A CN 201180012917A CN 102792632 B CN102792632 B CN 102792632B
Authority
CN
China
Prior art keywords
certificate
new authentication
expired
access
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201180012917.8A
Other languages
English (en)
Other versions
CN102792632A (zh
Inventor
T·谢里夫
C·H·布雷斯
N·加吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN102792632A publication Critical patent/CN102792632A/zh
Application granted granted Critical
Publication of CN102792632B publication Critical patent/CN102792632B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

证书管理系统提供了对证书寿命和证书分发的自动管理。与依赖于管理员手动分发和管理证书不同,该系统本身生成证书、向合适的服务器或其它方分发证书、并以避免中断功能的良好定义的方式从老证书过渡到新证书。在生成一个或多个证书之后,系统以使用证书的各方可找到新证书而无需管理员手动分发证书来的方式安全地共享证书。当到了更新证书的时候,系统以类似方式生成新证书并共享新证书。在过渡时期期间,系统提供老和新证书均可用于执行对资源的经认证的访问的协议,因此从老到新证书的过渡不会中断服务。

Description

自动化证书管理
背景技术
许多组织和系统包括向组织提供各种重要功能的服务器计算机系统。例如,甚至小型企业也可能有电子邮件服务器、一个或多个数据库服务器、由web服务器托管的公司内联网门户、文件服务器等等。这些功能可驻留在单个计算机系统或若干个计算机系统上,诸如以便增加可伸缩性并基于预期或测量的负载为每一功能提供充足的资源。诸如MICROSOFTTMWINDOWSTM小型企业服务器之类的产品在单个产品中提供多个服务器功能。
当组织具有多个服务器时,服务器可包括各种认证机制和安全协议以允许服务器彼此信任以及允许用户登录以访问每一服务器提供的功能。用于允许服务器使用单个登录来通信的一个安全系统包括MICROSOFTTMACTIVEDIRECTORYTM联合服务(ADFS)。ADFS在MICROSOFTTMWINDOWSSERVERTM2003中被引入以供组织参与基于标准的身份联合。ADFS提供跨服务器甚至跨组织的基于声明的认证。基于声明的认证使用令牌和证书来按照令牌内包含的一组声明认证用户或服务器。
不幸的是,引入证书也引入了证书管理的问题,因为证书会随时间的流逝而过期。在使用公钥基础架构(PKI)或类似策略以执行其某些功能的产品部署中,假定产品依赖于管理员来手动管理证书寿命是非常常见的。此外,这样的产品依赖于管理员来进行在服务器场中共享这些证书的繁重工作。对于其中通常没有雇佣有经验的管理员的许多组织,尤其是小型企业,这种假定通常导致功能的损失以及服务器不能正确地通信以向组织提供预期的功能。即使当管理员确实按期用新证书替换老证书时,存在因未对依赖于系统的其它事物事先给予关于此改变的警告,系统中的什么东西可能由于此突然改变而破坏的可能性。此外,证书更新涉及大量的规划,因为通常是作为调度的停工期的一部分,在同一天在每一服务器上手动更新证书的。
发明内容
此处描述了提供对证书寿命和证书分发的自动管理的证书管理系统。与依赖于管理员或其他用户手动分发和管理证书不同,证书管理系统本身生成证书、向合适的服务器或其它方分发证书、并以避免中断功能的良好定义的方式从老证书过渡到新证书。在生成一个或多个证书之后,系统以使用证书的各方可找到新证书而无需管理员手动分发证书来的方式安全地共享证书。当到了更新证书的时候,系统以类似方式生成新证书并共享新证书。在过渡时期期间,系统提供老和新证书均可用于执行对资源的经认证的访问的协议,因此从老到新证书的过渡不会中断服务。稍后,系统移除老证书,在新证书接近过期时,该循环重复。在这些阶段的每一个期间,没有预期或需要任何管理干预。因此,证书管理系统极大地简化了在组织的各个服务器之间建立信任的过程,并使用户卸下了诊断通常在证书寿命的手动管理情况下通常会发生的复杂问题的负担。
提供本发明内容以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
附图说明
图1是示出在一个实施例中的证书管理系统的各组件的框图。
图2是示出在一实施例中系统生成并共享证书的处理的流程图。
图3是示出在一实施例中系统更新一个或多个证书的处理的流程图。
具体实施方式
此处描述了提供对证书寿命和证书分发的自动管理的证书管理系统。与依赖于管理员或其他用户手动分发和管理证书不同,证书管理系统本身生成证书、向合适的服务器或其它方分发证书、并以避免中断功能的良好定义的方式从老证书过渡到新证书。在生成一个或多个证书之后,系统以使用证书的各方可找到新证书而无需管理员手动分发证书的方式安全地共享证书。例如,小型企业中的证书服务器向其它服务器(例如,电子邮件服务器)提供证书而无需手动干预。当到了更新证书的时候,系统以类似方式生成新证书并共享新证书。
例如,在证书过期前,系统可为快要过期的证书创建替换证书。在过渡期期间,系统提供老和新证书均可用于执行对资源的经认证的访问的协议,因此从老到新证书的过渡不会中断服务。稍后,系统移除老证书,在新证书接近过期时,该循环重复。在这些阶段的每一个期间,没有预期或需要任何管理干预。因此,证书管理系统极大地简化了在组织的各个服务器之间建立信任的过程,并解除了用户诊断通常在证书寿命的手动管理情况下通常会发生的复杂问题的负担。
在某些实施例中,在使用证书管理系统首次配置新服务器场时,系统创建其自己的自签署/发放的证书以便进行令牌签署和加密。系统使用标准协议向其它安全令牌服务或应用发布这些证书,作为联合元数据。如果系统被配置用于场配置,则系统用对称密钥加密这些证书,并与场中的其它证书管理机器共享经加密的证书。对称密钥(或其它服务器可从其得到该对称密钥的密钥导出密钥)也被保存并可由场中的其它机器使用安全方法来访问。在系统创建证书之后,系统开始定期地(例如,每天)监视证书以确定证书是否快要过期。在证书过期前的预定时间(例如,几周前),系统创建新证书,并开始发布新证书作为辅助证书(例如,使用被称为联合元数据的标准)。发布这些证书作为辅助证书确保了在老证书快过期的情况下没有安全令牌服务或应用被中断,并给予其它方足够的时间来对其侧进行适当的改变。在创建新证书之后,证书管理系统自动使用对称密钥与场中的其它机器共享新证书,而不依赖于管理员来共享证书。一旦原来创建的证书过期,系统就删除它们。在创建证书之后、老证书过期之前的可配置时间,系统将新证书提升为主要证书。生成/发布新证书和将新证书提升为主要证书之间的时间就是过渡阶段。系统然后通过监视新证书和管理其寿命来重复该过程。
图1是示出在一个实施例中的证书管理系统的各组件的框图。系统100包括证书生成组件110、证书发布组件120、证书检索组件130、证书更新组件140、证书过期组件150以及证书存储160。这些组件中的每一个都在此处进一步详细讨论。
证书生成组件110生成一个或多个证书以进行令牌签署和加密。组件110在系统100安装以及服务器场配置时创建初始的证书集合以便进行自动化的证书管理。之后,在该初始的证书集合接近过期时,证书生成组件110创建新证书以替换老证书。组件110随时间重复该过程,以维护可用于执行应用服务器所需的加密和签署服务的当前的证书集合。
证书发布组件120发布由证书生成组件110创建的新证书以使得证书可对系统100与之通信的其它服务器可用。证书发布组件120可使用诸如联合元数据和WS-Trust等的标准协议,来使得新证书应请求对其它服务器可用。主要服务器可按照安全的方式与其它服务器交换对称密钥,并使用对称密钥来加密证书。以此方式,证书可被开放共享(例如,经由文件共享),但仅可由具有适当的访问级别(如对称密钥的所有权所示)的各方访问和使用。当发布给同一场的成员时,组件120以加密方式发布证书,且内容包括证书的公钥以及私钥。在一些实施例中,这种发布是经由场内部的web服务进行的(例如,使用WINDOWSTM通信基础(WCF))。当发布给ADFS场的外部信任伙伴时,组件120可仅发布证书的公钥,且这种发布是使用外部可见联合元数据来进行的。在一些实施例中,组件120可包括用于发布给外部各方以及发布给内部场成员的单独的子组件。
证书发布组件120可发布主要和辅助证书两者。例如,初始创建的证书集合是主要证书,但是之后的替换证书一开始可被发布为在一段时间内是辅助证书,以允许老和新证书之间的平滑过渡。在过渡时期之后,证书发布组件120发布替换证书作为主要证书。
证书检索组件130在服务器上操作,其依赖于证书管理系统100来检索证书发布组件120共享的新证书。应用服务器或其它服务器可周期性地轮询系统的主要服务器,以确定是否有新的证书可供下载到应用服务器的证书存储。
证书更新组件140在一服务器上操作,其依赖于证书管理系统100将通过证书发布组件120而从系统100检索到的主要证书添加到服务器场中一服务器本地的证书存储。证书更新组件140还检索辅助证书,并以可由客户机在过渡期间或者使用主要证书或者使用辅助证书来进行访问的方式将辅助证书置于证书存储中。因此,即使特定的服务器无法更新到替换证书集合,客户机仍可使用主要或辅助证书之一来与特定服务器通信。在系统将辅助证书提升为主要证书(例如,在过渡时期结束时)之前,所有服务器将具有充足的时间来更新到最新的证书集合。
证书过期组件150从系统100移除过期的证书,并将辅助替换证书提升为主要证书。一旦证书超出其寿命,服务器将不再使用该证书来进行加密和签署,因此组件150删除已过期的证书。此前,如此处所述,系统100已发布辅助证书集合作为替换,组件150将辅助证书提升为主要证书。
证书存储160为证书生成组件110生成的ADFS存储证书。证书存储160可包括主要证书和辅助证书。此外,各个应用服务器可包括其自己的用于存储已下载的主要和辅助证书供加密和签署数据的证书存储160。可能存在由密码服务供应商(CSP)提供的单独的密码存储(未示出)。
尽管以上在单个证书管理系统100的上下文中描述了以上组件,本领域的普通技术人员将认识到,组件可分布在各个服务器和计算机系统上,以执行此处所述的功能。例如,组织中的每一服务器可包括其自己的证书过期组件150,该组件为该服务器移除老证书并提升新证书。或者或另外地,主要证书服务器可按照集中管理的方式移除一个或多个服务器上的老证书。系统不限于组件的任何具体分布,且与实现此处所述的目的和功能的各种分布兼容。
在其上实现了证书管理系统的计算设备可包括中央处理单元、存储器、输入设备(例如,键盘和指示设备)、输出设备(例如,显示设备)以及存储设备(例如,磁盘驱动器或其它非易失性存储介质)。存储器和存储设备是可以用实现或启用该系统的计算机可执行指令(如软件)来编码的计算机可读存储介质。此外,数据结构和消息结构可被存储或经由诸如通信链路上的信号等数据传输介质传送。可以使用各种通信链路,诸如因特网、局域网、广域网、点对点拨号连接、蜂窝电话网络等。
该系统的实施例可以在各种操作环境中实现,这些操作环境包括个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子产品、数码相机、网络PC、小型计算机、大型计算机、包括任何上述系统或设备的分布式计算环境等。计算机系统可以是蜂窝电话、个人数字助理、智能电话、个人计算机、可编程消费电子设备、数码相机等。
该系统可以在由一个或多个计算机或其他设备执行的诸如程序模块等计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,程序模块的功能可在各个实施例中按需进行组合或分布。
图2是示出在一实施例中系统生成并共享证书的处理的流程图。开始于框210,系统生成一个或多个证书以进行令牌签署和加密。证书是自签署/自发放的。系统可创建各种用途的证书。例如,系统可创建服务器场中的服务器使用的、以便建立服务器彼此之间的信任的通用证书,供远程服务器用来与服务器场通信的证书等。在框220继续,系统使用在服务器场中的服务器之间安全共享的密钥来对证书加密。例如,系统可生成并使用对称密钥来对一个或多个生成的证书加密。对证书加密允许更自由地共享证书而不必担心未经授权的各方能够访问证书。
在框230继续,系统在对服务器场中每一服务器可用的位置处发布证书。例如,系统可在文件共享处或经由常规协议在证书服务器的端口处共享证书。系统还可指示每一证书的用途,以及证书是主要证书还是辅助证书。稍后,一个或多个服务器按照以下步骤所述地请求所发布的证书。在框240继续,系统监听对访问所发布的证书的请求。例如,系统可在公知端口监听访问与服务器场相关联的证书的服务器请求。在判定框250继续,如果系统接收访问证书的请求,则系统在框260继续,否则系统循环到框240以继续监听请求。
在框260继续,系统处理所接收的访问证书的请求。例如,服务器场中的服务器可周期性地向证书服务器轮询新证书。在框270继续,系统用所请求的证书来答复。在一些实施例中,服务器可向证书服务器请求多个证书或比指定日期/时间新的证书,系统可用满足指定准则的一个或多个证书来答复。在框270之后,系统循环到框240以监听其它的证书访问请求。
图3是示出在一实施例中系统更新一个或多个证书的处理的流程图。开始于框310,系统检测到证书待处理的过期。例如,系统可周期性地轮询存储在证书存储中的证书,以标识快要过期的证书(例如,在过期前的一或两周内)。系统可接收指定过期前的一持续时间以开始更新证书的可配置参数。尽管在此示例中描述了单个证书,但系统可在同时处理许多证书的过期。在框320继续,系统生成新证书以替换要过期的证书。例如,系统可调用操作系统应用编程接口(API)或其它组件来生成证书。
在框330继续,系统将新证书标识为辅助证书,使得检索证书的服务器将继续使用现有的证书并接受使用新证书的请求。在框340继续,系统在对服务器场中每一服务器可用的位置处发布新证书。服务器将自动挑选新证书,并开始允许依赖于新证书的访问。发布新证书还可包括向ADFS场外的外部伙伴发布证书。在框350继续,系统检测过渡时期是否结束,如果结束,则在框306继续,否则系统循环到框350以等待过渡时期的结束。过渡时期在证书过期或证书过期后的某一时刻(允许证书在刚刚过期之后保持有效可能是有用的)结束。
在框360继续,系统将新证书从辅助证书提升为主要证书。这实现了用新证书对过期证书的替换。系统可简单地在证书存储中不同地标记证书,使得相关服务器注意到改变并更新其自己的证书存储以指示新的主要证书。在框370继续,系统从证书存储移除过期的证书。这还可在相关服务器根据其自己的过期管理日程安排尚未移除过期证书时提示相关服务器移除过期的证书。所提供的过渡时期确保了在老证书快过期的情况下没有安全令牌服务或应用被中断,并给予其它方足够的时间来对其侧进行适当的改变。在框370之后,这些步骤结束。
在一些实施例,证书管理系统向服务器场中的每一服务器提供通用服务账户,通过该账户,每一服务器可访问共享的证书。例如,通过在标记为可由服务账户访问的存储中共享证书,持有服务账户凭证的任何其它服务器可访问该存储以及该存储内的任何数据。这提供了按照已经由现有的服务器用户访问管理提供的安全方式在多个机器之间共享数据的容易方式。
在一些实施例中,证书管理系统提供管理员可调节以增加安全性或增加证书之间成功过渡的可能性的可配置参数。例如,一些管理员可能为增加的安全性而想要较短的过渡时期,而其他管理员可能为增加的兼容性而偏好较长的过渡时期。系统允许管理员配置过渡时期以便于调谐系统以适应这样不同的目的。
在一些实施例中,证书管理系统发布元数据,这些元数据指示诸如正在使用哪些证书、哪些证书过期、哪些证书是主要证书、哪些证书是辅助证书等等的信息。以此方式,服务器场中的服务器可周期性地检查已发布的元数据以确定是否到了要进行诸如更新或提升证书等的进一步动作的时间。
在一些实施例中,证书管理系统从单独的证书授权机构(CA)检索证书。尽管此处描述为生成其自己的证书,系统还可服从进行访问的服务器所信任的特定CA来生成系统共享和管理的证书。例如,系统可调用WINDOWSSERVERTM2008R2web服务API来从公共CA获得证书。
从前面的描述中可以看出,可以理解,证书管理系统的特定实施例只是为了说明,但是,在不偏离本发明的精神和范围的情况下,可以进行各种修改。因此,本发明只受所附权利要求限制。

Claims (9)

1.一种计算机实现的用于管理用于在服务器场中的服务器之间通信的证书的寿命的方法,其特征在于,所述方法包括:
检测证书的待处理的过期,要过期的证书被标识为用于执行对所述服务器场内的资源的经认证的访问的主要证书,所述要过期的证书之前响应于检测到先前主要证书的待处理的过期从用于执行对所述服务器场内的资源的经认证的访问的辅助证书提升为主要证书;
响应于检测到所述要过期的证书的待处理过期,生成要替换所述要过期的证书的新证书;
将所述新证书发布为用于执行对所述服务器场内的资源的经认证的访问的辅助证书,使得服务器可使用所述要过期的证书认证对所述资源的访问以及使用所述新证书认证对所述资源的访问,所述新证书被发布为证书存储的辅助证书;
访问可配置证书过渡时期,所述可配置证书过渡时期指示要过期的证书被移除之前所述要过期的证书和新证书同时对于认证对所述资源的访问有效的时期,所述可配置证书过渡时期由管理员通过使用可配置参数来选择以调节所述可配置过渡时期以达到所述资源的安全性与用于访问所述资源的证书兼容性之间的所选平衡;
在所述可配置证书过渡时期期间将所述要过期的证书和所述新证书均维护在所述证书存储中作为对于认证对所述资源的访问有效,以便给予其它各方为使用所述新证书作出适当改变的时间;
在检测到所述可配置证书过渡时期结束之后:
重新发布所述新证书作为主要证书以将所述新证书从辅助证书提升为主要证书,所述新证书被重新发布为所述证书存储的主要证书;并且
从所述证书存储移除所述要过期的证书以提示任何相关服务器也移除所述要过期的证书。
2.如权利要求1所述的方法,其特征在于,生成要替换所述要过期的证书的新证书包括调用本地应用编程接口(API)来创建证书。
3.如权利要求1所述的方法,其特征在于,生成要替换所述要过期的证书的新证书包括调用远程公共证书授权机构(CA)来生成证书。
4.如权利要求1所述的方法,其特征在于,将所述新证书发布为所述证书存储的辅助证书包括将所述新证书置于使用通用服务账户保护的服务器场中的公开位置,使得仅授权方可访问所述新证书。
5.一种用于自动管理多个服务器共享的证书的寿命的计算机系统,所述系统包括:
处理器和存储器,所述处理器和存储器被配置成执行软件指令;
证书存储,被配置成存储证书;
被配置成检测被标识为用于执行对资源的经认证的访问的主要证书的一证书的待处理的过期的组件;
证书生成组件,被配置成响应于检测到所述主要证书的待处理的到期生成新证书用于执行对所述资源的经认证的访问;
证书发布组件,被配置成将所述新证书发布为用于执行对资源的经认证的访问的辅助证书,使得所述多个服务器中的任何一个服务器可使用要过期的证书执行对所述资源的经认证的访问以及可使用所述新证书执行对所述资源的经认证的访问,所述新证书被发布为所述证书存储的辅助证书;
证书检索组件,被配置成检索由证书发布组件发布的新证书;
证书更新组件,被配置成:
访问可配置证书过渡时期,所述可配置证书过渡时期指示要过期的证书被移除之前所述要过期的证书和新证书同时对于认证对所述资源的访问有效的时期,所述可配置证书过渡时期由管理员通过使用可配置参数来选择以调节所述可配置过渡时期以达到所述资源的安全性与用于访问所述资源的证书兼容性之间的所选平衡;
在所述可配置证书过渡时期期间将所述要过期的证书和所述新证书均维护在所述证书存储中作为对于认证对所述资源的访问有效,以便给予其它各方为使用所述新证书作出适当改变的时间;
证书过期组件,被配置成在检测到所述可配置证书过渡时期结束之后从所述系统移除所述要过期的证书,移除所述要过期的证书提示任何相关服务器也移除过期的证书;以及
其中所述证书发布组件还被配置成在检测到所述可配置证书过渡时期结束之后重新发布所述新证书作为主要证书以将所述新证书从辅助证书提升为主要证书,所述新证书被重新发布为所述证书存储的主要证书。
6.如权利要求5所述的系统,其特征在于,所述证书生成组件还被配置成在所述系统安装以及服务器场配置时创建初始的证书集合以便进行自动化的证书管理。
7.如权利要求5所述的系统,其特征在于,所述证书生成组件还被配置成创建新证书以替换接近过期的老证书而无需管理员的干预。
8.如权利要求5所述的系统,其特征在于,所述证书发布组件还被配置成发布主要和辅助证书两者,以允许在证书接近过期时的原始和替换证书之间的过渡时期。
9.如权利要求5所述的系统,其特征在于,证书更新组件还被配置成检索辅助证书,并以访问可对在过渡期间或者使用主要证书或者使用辅助证书的其它服务器来进行的方式将所述辅助证书置于证书存储中。
CN201180012917.8A 2010-03-08 2011-03-04 自动化证书管理 Active CN102792632B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/719,853 2010-03-08
US12/719,853 US9197630B2 (en) 2010-03-08 2010-03-08 Automated certificate management
PCT/US2011/027297 WO2011112466A2 (en) 2010-03-08 2011-03-04 Automated certificate management

Publications (2)

Publication Number Publication Date
CN102792632A CN102792632A (zh) 2012-11-21
CN102792632B true CN102792632B (zh) 2015-08-26

Family

ID=44532308

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180012917.8A Active CN102792632B (zh) 2010-03-08 2011-03-04 自动化证书管理

Country Status (5)

Country Link
US (1) US9197630B2 (zh)
EP (1) EP2545677B1 (zh)
CN (1) CN102792632B (zh)
HK (1) HK1176481A1 (zh)
WO (1) WO2011112466A2 (zh)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137237B2 (en) 2013-09-03 2015-09-15 Microsoft Technology Licensing, Llc Automatically generating certification documents
EP3077946A1 (en) * 2013-12-02 2016-10-12 Gemalto SA System and method for securing offline usage of a certificate by otp system
US9424419B1 (en) * 2014-10-27 2016-08-23 Amazon Technologies, Inc. Automatic rotation and storage of security credentials
US9893885B1 (en) 2015-03-13 2018-02-13 Amazon Technologies, Inc. Updating cryptographic key pair
US9674162B1 (en) 2015-03-13 2017-06-06 Amazon Technologies, Inc. Updating encrypted cryptographic key pair
US10003467B1 (en) 2015-03-30 2018-06-19 Amazon Technologies, Inc. Controlling digital certificate use
US9479340B1 (en) 2015-03-30 2016-10-25 Amazon Technologies, Inc. Controlling use of encryption keys
WO2016163979A1 (en) * 2015-04-06 2016-10-13 Hewlett Packard Enterprise Development Lp Certificate generation
US10432610B2 (en) * 2015-06-30 2019-10-01 Vmware, Inc. Automated monitoring and managing of certificates
US9819497B2 (en) 2015-06-30 2017-11-14 Vmware, Inc. Automated provisioning of certificates
US10728043B2 (en) * 2015-07-21 2020-07-28 Entrust, Inc. Method and apparatus for providing secure communication among constrained devices
US10666637B2 (en) * 2015-12-14 2020-05-26 Amazon Technologies, Inc. Certificate renewal and deployment
US10356081B2 (en) * 2016-01-29 2019-07-16 Cable Television Laboratories, Inc. Systems and methods for secure automated network attachment
US10320572B2 (en) * 2016-08-04 2019-06-11 Microsoft Technology Licensing, Llc Scope-based certificate deployment
US10250587B2 (en) 2016-09-30 2019-04-02 Microsoft Technology Licensing, Llc Detecting malicious usage of certificates
US10958666B1 (en) * 2017-03-24 2021-03-23 NortonLifeLock Inc. Systems and methods for verifying connection integrity
US11888997B1 (en) * 2018-04-03 2024-01-30 Amazon Technologies, Inc. Certificate manager
US11563590B1 (en) 2018-04-03 2023-01-24 Amazon Technologies, Inc. Certificate generation method
US11323274B1 (en) * 2018-04-03 2022-05-03 Amazon Technologies, Inc. Certificate authority
CN109657423A (zh) * 2018-11-26 2019-04-19 平安科技(深圳)有限公司 基于开发辅助的开发证书与描述文件的管理方法及系统
US11190364B2 (en) * 2019-03-12 2021-11-30 Vmware, Inc. Seamless certificate replacement for endpoints in hyperconverged infrastructure
JP7225958B2 (ja) * 2019-03-14 2023-02-21 オムロン株式会社 制御装置および制御システム
US11283629B2 (en) 2019-10-10 2022-03-22 Red Hat, Inc. Automated replacement of renewable server certificates
US11290283B2 (en) 2019-10-10 2022-03-29 Red Hat, Inc. Automated replacement of self-signed server certificates
US11843706B1 (en) * 2019-11-19 2023-12-12 Amazon Technologies, Inc. Gradual certificate rotation
EP4174691A1 (de) * 2021-10-29 2023-05-03 Siemens Aktiengesellschaft Leitsystem für eine technische anlage und verfahren zum entfernen eines oder mehrerer zertifikate

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6233341B1 (en) * 1998-05-19 2001-05-15 Visto Corporation System and method for installing and using a temporary certificate at a remote site
US6684331B1 (en) * 1999-12-22 2004-01-27 Cisco Technology, Inc. Method and apparatus for distributing and updating group controllers over a wide area network using a tree structure
US6738900B1 (en) * 2000-01-28 2004-05-18 Nortel Networks Limited Method and apparatus for distributing public key certificates
US6940979B1 (en) * 2000-11-09 2005-09-06 Nortel Networks Limited Management of certificates for public key infrastructure
KR20040015272A (ko) * 2001-06-12 2004-02-18 리서치 인 모션 리미티드 인증서 관리 및 전송 시스템 및 방법
US7272714B2 (en) * 2002-05-31 2007-09-18 International Business Machines Corporation Method, apparatus, and program for automated trust zone partitioning
US7484089B1 (en) * 2002-09-06 2009-01-27 Citicorp Developmemt Center, Inc. Method and system for certificate delivery and management
US8131649B2 (en) * 2003-02-07 2012-03-06 Igware, Inc. Static-or-dynamic and limited-or-unlimited content rights
US7366906B2 (en) * 2003-03-19 2008-04-29 Ricoh Company, Ltd. Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium
US20050076200A1 (en) * 2003-08-15 2005-04-07 Imcentric, Inc. Method for discovering digital certificates in a network
JP4607567B2 (ja) * 2004-01-09 2011-01-05 株式会社リコー 証明書転送方法、証明書転送装置、証明書転送システム、プログラム及び記録媒体
US20060047951A1 (en) * 2004-08-27 2006-03-02 Michael Reilly Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate
US7512974B2 (en) * 2004-09-30 2009-03-31 International Business Machines Corporation Computer system and program to update SSL certificates
EP1732263A1 (en) 2005-06-07 2006-12-13 Sony Ericsson Mobile Communications AB Method and apparatus for certificate roll-over
US8116456B2 (en) * 2006-11-28 2012-02-14 Oracle International Corporation Techniques for managing heterogeneous key stores

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ADFS 2.0 RC is Here!;mattle steele;《http://channel9.msdn.com/shows/Identity/ADFS-20-RC-is-Here/》;20091218;视频第7分钟至第20分钟 *
Flexible Certificate Management for Secure HTTPS Client/Server Communication;Jing Zhang;《Final Thesis》;20050922;正文第4页至第48页,图3-3至图3-12 *

Also Published As

Publication number Publication date
CN102792632A (zh) 2012-11-21
EP2545677A4 (en) 2013-08-21
EP2545677A2 (en) 2013-01-16
US20110219227A1 (en) 2011-09-08
HK1176481A1 (zh) 2013-07-26
WO2011112466A2 (en) 2011-09-15
EP2545677B1 (en) 2015-04-15
WO2011112466A3 (en) 2012-01-05
US9197630B2 (en) 2015-11-24

Similar Documents

Publication Publication Date Title
CN102792632B (zh) 自动化证书管理
US11354429B2 (en) Device and methods for management and access of distributed data sources
US8738901B2 (en) Automatic certificate renewal
US7624421B2 (en) Method and apparatus for managing and displaying contact authentication in a peer-to-peer collaboration system
O’Malley et al. Hadoop security design
TWI432000B (zh) 供應數位身份表徵
US9350536B2 (en) Cloud key management system
US8261329B2 (en) Trust and identity in secure calendar sharing collaboration
US9069944B2 (en) Managing passwords used when detecting information on configuration items disposed on a network
US10084790B2 (en) Peer to peer enterprise file sharing
EP2337296A1 (en) Session migration between network policy servers
US8327132B2 (en) Automated certificate provisioning for non-domain-joined entities
US20140059664A1 (en) Hardware-Based Credential Distribution
US8739255B2 (en) Replicating selected secrets to local domain controllers
JP2011082983A (ja) ネットワークリソースを保護するための装置及び方法
TW200811685A (en) System and method for tracking the security enforcement in a grid system
CN105324976A (zh) 使用简单证书注册协议和相应的管理应用将证书注册到设备的方法
JP2010244100A (ja) 認証情報管理プログラム、認証情報管理装置、認証方法
US10616225B2 (en) Controlling access rights of a document using enterprise digital rights management
JP2007213397A (ja) データ管理プログラム、データ管理装置およびプロトコルの切り替え方法
US20160191503A1 (en) Peer to peer enterprise file sharing
EP1560394B1 (en) Techniques for dynamically establishing and managing authentication and trust relationships
US20220174058A1 (en) Peer-to-peer notification system
JP2004348631A (ja) アカウント管理システム、アカウント管理方法およびアカウント管理プログラム
JP2021064869A (ja) シンクライアントシステム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1176481

Country of ref document: HK

ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150730

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20150730

Address after: Washington State

Applicant after: Micro soft technique license Co., Ltd

Address before: Washington State

Applicant before: Microsoft Corp.

C14 Grant of patent or utility model
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: GR

Ref document number: 1176481

Country of ref document: HK