CN107493174B - 基于cdn网络的ssl证书智能绑定与管理方法 - Google Patents
基于cdn网络的ssl证书智能绑定与管理方法 Download PDFInfo
- Publication number
- CN107493174B CN107493174B CN201710792015.XA CN201710792015A CN107493174B CN 107493174 B CN107493174 B CN 107493174B CN 201710792015 A CN201710792015 A CN 201710792015A CN 107493174 B CN107493174 B CN 107493174B
- Authority
- CN
- China
- Prior art keywords
- certificate
- domain name
- sub
- ssl
- certificates
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种基于CDN网络的SSL证书智能绑定与管理方法,包括以下步骤:步骤1:针对某个根域名做证书操作,证书操作包括上传证书、更新证书和删除证书;步骤2:证书与子域名自动关联,包括:1)提取根域名关联的所有证书;2)提取根域名下所有需要加速的子域名;3)遍历子域名,对每一个子域名遍历根域名关联的所有证书,按规则进行关联;步骤3:CDN节点SSL智能匹配,即当请求是HTTPS的握手请求时,提取域名信息;根据域名信息查找节点本地数据库中相关联的证书;找到SSL证书,对证书进行解密,提取证书与私钥并建立HTTPS连接。本发明针对根域名的证书管理,实现证书与用户子域名的智能匹配、证书与CDN节点自动分发等功能。
Description
技术领域
本发明涉及SSL证书关联领域,具体是一种基于CDN网络的SSL证书智能绑定与管理方法。
背景技术
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本,因为配置在服务器上,也称为SSL服务器证书。就是遵守SSL协议,由受信任的数字证书颁发机构CA(如GlobalSign),在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socketlayer,SSL),安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。
现有技术中,通过对用户上传的证书和私钥生成加密包,按照用户设置的加密包存放路径分发到相应CDN边缘节点部署,CDN边缘节点对该加密包二次加密。其存在以下不足:1、基于用户上传的证书未确定该证书是否能够匹配多个子域名;2、基于用户设置的加密包路径分发到对应的CDN节点存在不确定性,例如网站节点调整后证书无法匹配问题。
在系统中,一个根域名可能会存在一个或多个子域名,用户登录CDN帐户系统上传多个证书,每个证书可能会匹配多个子域名,如何实现最佳匹配以及满足用的个性化需求就成为了关键性问题。另外,每个域名由于特殊情况需要调整域名所在CDN节点,证书如何快速分发到对应CDN节点也成为一个亟待解决的问题。
CDN:内容分发网络,提高用户访问网站的响应速度。SSL证书:遵守SSL协议,由受信的数字证书颁发机构CA颁发,具有服务器身份验证和数据传输加密功能。
发明内容
本发明所要解决的技术问题是提供一种基于CDN网络的SSL证书智能绑定与管理方法,针对根域名的证书管理,实现证书与用户子域名的智能匹配、证书与CDN节点自动分发等功能。
为解决上述技术问题,本发明采用的技术方案是:
一种基于CDN网络的SSL证书智能绑定与管理方法,包括以下步骤:
步骤1:用户证书操作
针对某个根域名做证书操作,证书操作包括上传证书、更新证书和删除证书,具体为:
上传证书包括:1)用户合成域名SSL证书,证书包括网站证书与私钥;2)选择域名,上传证书;3)验证证书合法性,证书是否已存在,证书是否与域名相匹配;4)生成唯一证书ID-ssl_id(ssl_id表示存储的唯一ID),保存证书,将证书与域名进行关联;对证书加密,保存证书内容、可用域名以及过期时间;
更新证书包括:1)选择指定证书;2)上传新的证书;3)验证证书是否合法,是否与原有证书一致,是否与域名相匹配;4)更新证书;
删除证书,即是删除证书以及证书与域名的关联;
步骤2:证书与子域名自动关联,包括:
1)提取根域名关联的所有证书,包括泛解析有效证书;2)提取根域名下所有需要加速的子域名,包括泛解析子域名;3)遍历子域名,对每一个子域名遍历根域名关联的所有证书,优先完全匹配证书中包含的可用子域名;若有多个证书完全匹配该子域名,选择证书过期时间最长的进行关联;若未找到完全匹配的证书,查看是否有泛解析的证书,若有泛解析证书,并且能够匹配,按照SSL证书过期时间最长原则进行匹配;若未找到可匹配的证书,则不关联;
步骤3:CDN节点SSL智能匹配,包括:
1)判断CDN节点识别请求是HTTPS的握手请求还是HTTP请求,若是HTTPS的握手请求,则提取域名信息;2)根据域名信息查找节点本地数据库中相关联的证书;3)若找到SSL证书,对证书进行解密,提取证书与私钥并建立HTTPS连接;否则返回HTTPS连接失效。
进一步的,在上传证书与更新证书时,若用户希望关联某个子域名与特定证书,在进行此项处理时,保存子域名与证书的关联。
进一步的,在证书关联过程中,若用户需要关联某个子域名与特定证书,该关联需要将步骤1中证书与子域名直接关联,该关联优先级最高。
与现有技术相比,本发明的有益效果是:现有的证书管理方法未针对根域名操作,并且需要用户设置证书存放路径,用户管理证书需要大量操作,而且域名节点调整时无法做到智能调整,可能需要人工再次干预;本发明通过对根域名绑定证书,再结合智能化匹配规则,可以大大减少人工参与的程度,并且SSL证书同步到CDN节点时无需人工再次干预,CDN节点处理网站请求时实现最佳匹配原则,同时能够满足用户的子域名与SSL证书特殊绑定需求。
附图说明
图1是本发明中上传证书流程示意图。
图2是本发明中更新证书流程示意图。
图3是本发明中证书智能关联流程示意图。
图4是本发明中CDN节点SSL智能匹配流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明用于CDN网络为用户提供安全可靠的服务,智能管理匹配网站的SSL证书(适用于CDN厂商有大量证书的公司);基于用户上传的SSL证书,智能管理用户一个根域名多个子域名多个证书,结合证书内容与子域名实现最佳匹配,保障用户网站的可用性与有效性,提升用户网站体验与安全性。
系统中存在的根域名中有很多子域名,子域名与上传的证书中都会存在泛解析等特殊情况,所以如果用户对每个证书与子域名分别进行绑定,那将耗费大量精力,以及会出现证书与子域名之间的关联出现混乱的情况。同时随着域名节点的调整,SSL证书需要能够存放到相应的CDN节点。本发明结合子域名与证书的特点来对证书与子域名自动匹配,用户只需要上传与域名相关的证书,实现智能分发到CDN节点,随着域名节点的调整,证书能够快速准确的同步到对应节点中,提升用户网站安全性与可用性。详述如下:
一、用户证书上传
针对某个根域名做证书操作,操作包括上传证书、更新证书、删除证书,允许一个根域名上传多个证书,对域名与证书进行关联。
上传证书如图1所示,包括步骤:
步骤1:用户合成域名SSL证书,证书包括网站证书与私钥;
步骤2:登录CDN帐户管理系统,选择域名,上传证书;
步骤3:验证证书合法性,证书是否已存在,证书是否与域名相匹配;
步骤4:生成唯一证书ID-ssl_id,保存证书,证书与域名关联;对证书加密,保存证书内容、可用域名以及过期时间等。
更新证书如图2所示,与上传证书所不同的是选择指定证书进行更新,其它步骤基本一致。
删除证书操作即删除证书以及证书与域名的关联。
上传与更新证书时需要处理一种特殊情况,用户希望关联某个子域名与特定证书,在进行此项处理时,保存子域名与证书的关联。
二、证书与子域名自动关联
目前用户只需要上传与根域名相关的证书即可,无需手动绑定,分发SSL证书到节点时根据证书内容与子域名智能关联,如图3所示,包括:
步骤1:提取根域名关联的所有证书,包括泛解析等有效证书;
步骤2:提取根域名下所有需要加速的子域名,包括泛解析等子域名;
步骤3:遍历子域名,对每一个子域名遍历根域名关联的所有证书,优先完全匹配证书中包含的可用子域名;如果有多个证书完全匹配该子域名,选择证书过期时间最长的进行关联;如果未找到完全匹配的证书,查看是否有泛解析的证书,如果有泛解析证书,并且能够匹配,按照SSL证书过期时间最长原则进行匹配;如果未找到可匹配的证书,则不关联。
在证书关联过程中,还需要处理一种特殊的情况,比如用户需要关联某个子域名与特定证书,需要特殊处理,该关联需要将步骤一中证书与子域名直接关联,该关联优先级最高,以满足特殊要求。
三、CDN节点SSL智能匹配
用户的证书配置同步到CDN节点上与域名关联,如果域名调整了CDN节点,证书配置会随着域名的配置而同步,不再需要用户配置SSL证书存放位置,实现智能快速同步。CDN节点对SSL证书查找逻辑如图4所示,包括:
步骤1:CDN节点识别请求是HTTPS的握手请求还是HTTP请求,如果是HTTP请求,进行其它处理,不再继续下一步,否则提取域名信息;
步骤2:根据域名信息查找节点本地数据库中相关证书;
步骤3:如果找到SSL证书,对证书解密,提取证书与私钥建立HTTPS连接;否则返回HTTPS连接失效等。
Claims (3)
1.一种基于CDN网络的SSL证书智能绑定与管理方法,其特征在于,包括以下步骤:
步骤1:用户证书操作
针对某个根域名做证书操作,证书操作包括上传证书、更新证书和删除证书,具体为:
上传证书包括:1)用户合成域名SSL证书,证书包括网站证书与私钥;2)选择域名,上传证书;3)验证证书合法性,证书是否已存在,证书是否与域名相匹配;4)生成唯一证书ID-ssl_id,保存证书,将证书与域名进行关联;对证书加密,保存证书内容、可用域名以及过期时间;
更新证书包括:1)选择指定证书;2)上传新的证书;3)验证证书是否合法,是否与原有证书一致,是否与域名相匹配;4)更新证书;
删除证书,即是删除证书以及证书与域名的关联;
步骤2:证书与子域名自动关联,包括:
1)提取根域名关联的所有证书,包括泛解析有效证书;2)提取根域名下所有需要加速的子域名,包括泛解析子域名;3)遍历子域名,对每一个子域名遍历根域名关联的所有证书,优先完全匹配证书中包含的可用子域名;若有多个证书完全匹配该子域名,选择证书过期时间最长的进行关联;若未找到完全匹配的证书,查看是否有泛解析的证书,若有泛解析证书,并且能够匹配,按照SSL证书过期时间最长原则进行匹配;若未找到可匹配的证书,则不关联;
步骤3:CDN节点SSL智能匹配,包括:
1)判断CDN节点识别请求是HTTPS的握手请求还是HTTP请求,若是HTTPS的握手请求,则提取域名信息;2)根据域名信息查找节点本地数据库中相关联的证书;3)若找到SSL证书,对证书进行解密,提取证书与私钥并建立HTTPS连接;否则返回HTTPS连接失效。
2.如权利要求1所述的基于CDN网络的SSL证书智能绑定与管理方法,其特征在于,在上传证书与更新证书时,若用户希望关联某个子域名与特定证书,在进行此项处理时,保存子域名与证书的关联。
3.如权利要求1所述的基于CDN网络的SSL证书智能绑定与管理方法,其特征在于,在证书关联过程中,若用户需要关联某个子域名与特定证书,该关联需要将步骤1中证书与子域名直接关联,该关联优先级最高。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710792015.XA CN107493174B (zh) | 2017-09-05 | 2017-09-05 | 基于cdn网络的ssl证书智能绑定与管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710792015.XA CN107493174B (zh) | 2017-09-05 | 2017-09-05 | 基于cdn网络的ssl证书智能绑定与管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107493174A CN107493174A (zh) | 2017-12-19 |
| CN107493174B true CN107493174B (zh) | 2020-12-15 |
Family
ID=60652144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710792015.XA Active CN107493174B (zh) | 2017-09-05 | 2017-09-05 | 基于cdn网络的ssl证书智能绑定与管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493174B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737111B (zh) * | 2018-05-24 | 2021-07-27 | 中国互联网络信息中心 | 一种数字证书处理方法及装置 |
| CN110881064B (zh) * | 2018-09-06 | 2022-08-02 | 阿里巴巴集团控股有限公司 | 一种域名配置方法及设备 |
| CN111049789B (zh) * | 2018-10-15 | 2023-05-12 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN110519239B (zh) * | 2019-08-09 | 2022-02-25 | 苏州浪潮智能科技有限公司 | 一种协议配置方法、装置、设备及可读存储介质 |
| CN110766409A (zh) * | 2019-10-24 | 2020-02-07 | 深圳前海微众银行股份有限公司 | Ssl证书校验方法、装置、设备及计算机存储介质 |
| CN112235267A (zh) * | 2020-09-29 | 2021-01-15 | 北京金山云网络技术有限公司 | 加载证书的方法、网页服务器、中继服务器、介质和系统 |
| CN115460083B (zh) * | 2021-06-09 | 2024-04-19 | 贵州白山云科技股份有限公司 | 安全加速服务部署方法、装置、介质及设备 |
| CN113901370B (zh) * | 2021-10-11 | 2023-09-08 | 北京百度网讯科技有限公司 | 证书部署方法、装置、电子设备以及存储介质 |
| CN115801426B (zh) * | 2022-11-29 | 2023-06-23 | 杭州菲助科技有限公司 | 批量检测子域名ssl证书剩余有效期的方法、装置及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080263215A1 (en) * | 2007-04-23 | 2008-10-23 | Schnellbaecher Jan F | Transparent secure socket layer |
| CN103227801A (zh) * | 2013-05-14 | 2013-07-31 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
| CN103825906A (zh) * | 2014-03-14 | 2014-05-28 | 网宿科技股份有限公司 | 基于内容分发网络的企业私钥自加密自部署方法 |
| CN104094554A (zh) * | 2012-01-27 | 2014-10-08 | 微软公司 | 无服务器名称指示(sni)的隐式ssl证书管理 |
| CN105846996A (zh) * | 2016-03-17 | 2016-08-10 | 上海携程商务有限公司 | 服务器证书的自动部署系统及方法 |
| CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
-
2017
- 2017-09-05 CN CN201710792015.XA patent/CN107493174B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080263215A1 (en) * | 2007-04-23 | 2008-10-23 | Schnellbaecher Jan F | Transparent secure socket layer |
| CN104094554A (zh) * | 2012-01-27 | 2014-10-08 | 微软公司 | 无服务器名称指示(sni)的隐式ssl证书管理 |
| CN103227801A (zh) * | 2013-05-14 | 2013-07-31 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
| CN103825906A (zh) * | 2014-03-14 | 2014-05-28 | 网宿科技股份有限公司 | 基于内容分发网络的企业私钥自加密自部署方法 |
| CN105846996A (zh) * | 2016-03-17 | 2016-08-10 | 上海携程商务有限公司 | 服务器证书的自动部署系统及方法 |
| CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107493174A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107493174B (zh) | 基于cdn网络的ssl证书智能绑定与管理方法 | |
| US11475137B2 (en) | Distributed data storage by means of authorisation token | |
| CN111295869B (zh) | 用于认证去中心化标识的系统和方法 | |
| US11647007B2 (en) | Systems and methods for smartkey information management | |
| US11128477B2 (en) | Electronic certification system | |
| US9516107B2 (en) | Secure local server for synchronized online content management system | |
| CN107111723B (zh) | 用户终端、服务提供设备、用户终端的驱动方法、服务提供设备的驱动方法以及基于加密索引的搜索系统 | |
| US8572268B2 (en) | Managing secure sessions | |
| US8490165B2 (en) | Restoring secure sessions | |
| US7774611B2 (en) | Enforcing file authorization access | |
| US11675922B2 (en) | Secure storage of and access to files through a web application | |
| CN111316303A (zh) | 用于基于区块链的交叉实体认证的系统和方法 | |
| CN111213147A (zh) | 用于基于区块链的交叉实体认证的系统和方法 | |
| US8365257B1 (en) | Secure web portal with delegated secure administration | |
| CN105516110B (zh) | 移动设备安全数据传送方法 | |
| US8332647B2 (en) | System and method for dynamic multi-attribute authentication | |
| US20160285832A1 (en) | Secure consumption of platform services by applications | |
| US10230695B2 (en) | Distribution of secure data with entitlement enforcement | |
| KR101974062B1 (ko) | 클라우드 하드웨어 모듈 기반 전자 서명 방법 | |
| CN104348870A (zh) | 基于可信时间戳的云存储系统的数据管理方法和系统 | |
| CN111526161A (zh) | 一种通信方法、通信设备及代理系统 | |
| CN105072134A (zh) | 一种基于三级密钥的云盘系统文件安全传输方法 | |
| CN113468599A (zh) | 文件存证方法、装置、系统、设备和存储介质 | |
| US20220200812A1 (en) | Digital certificate and method for securely providing a public key | |
| WO2021198750A1 (en) | System and method to manage information and documents on a native blockchain network system including permissioned blockchain, storage, sharing, organisation, porting and various applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000 Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, No. 219, Tianfu Third Street, hi tech Zone, Chengdu, Sichuan Province Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |