CN109067546B - 一种管理安全证书的方法、装置、设备及计算机存储介质 - Google Patents
一种管理安全证书的方法、装置、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN109067546B CN109067546B CN201811093954.6A CN201811093954A CN109067546B CN 109067546 B CN109067546 B CN 109067546B CN 201811093954 A CN201811093954 A CN 201811093954A CN 109067546 B CN109067546 B CN 109067546B
- Authority
- CN
- China
- Prior art keywords
- security gateway
- new
- safety certificate
- old
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种管理安全证书的方法、装置、设备及计算机可读存储介质,该方法为:在接收到更新安全证书的请求后更新本地安全证书以得到新安全证书,然后在本节点创建新安全网关,并将新安全证书加载至新安全网关;最后控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。由此可见,本方法能够利用新安全网关逐步替代旧安全网关,克服了访问中断的问题,另外,由于是在本节点创建新安全网关,不影响其它节点,简化了更新过程,最后由于不需要其它节点参与,并且安全网关本身具有负载均衡的功能,因此无需设置负载均衡器,降低了硬件成本。
Description
技术领域
本发明涉及应用管理平台技术领域,特别是涉及一种管理安全证书的方法、装置、设备及计算机存储介质。
背景技术
应用管理平台的安全网关支持按域名类型配置不同的安全证书。当有新的应用(包含有新域名)上线或是需要更新安全证书的时候需要重启安全网关。重启安全网关的过程中会导致与该网关对应的应用出现访问中断的问题。
现有技术中,为了解决访问中断的问题,采用的技术方案是在多个节点部署安全网关,并在服务器集群中安装负载均衡器,使得用户请求分发至不同的安全网关。当需要更新不同的安全证书时,通过负载均衡器将应用分配至一部分安全网关,而剩余的空闲的安全网关(通常是一个)就可以重启,以便于安装新的安全证书。通过这样的方式,多个安全网关逐个安装,从而克服访问中断的缺陷。
很显然,现有技术中需要设置多个安全网关且分布在不同的节点上,全部安全网关都要实现安全证书的安装,该过程较为繁琐;另外还需要引入负载均衡器,必然要增加硬件成本。
发明内容
本发明的目的是提供一种管理安全证书的方法、装置、设备及计算机存储介质,用于在一个节点上实现安全证书的更新,从而降低更新的过程,并且无需借助负载均衡器,有效降低了硬件成本。
为解决上述技术问题,本发明提供一种管理安全证书的方法,包括:
接收更新安全证书的请求,并依据所述请求更新本地安全证书以得到新安全证书;
在本节点创建新安全网关,并将所述新安全证书加载至所述新安全网关;
控制所述新安全网关和旧安全网关同时侦听TCP端口号,直到所述旧安全网关将控制权转移至所述新安全网关,并在所述旧安全网关执行完最后一个访问请求后关闭所述旧安全网关。
优选地,所述旧安全网关将控制权转移至所述新安全网关包括:
所述新安全网关向所述旧安全网关发送用于停止侦听所述TCP端口号的停止信号;
所述旧安全网关在接收到所述停止信号后,停止侦听所述TCP端口号;
所述新安全网关向所述旧安全网关发送用于转移所述控制权的转移信号;
所述旧安全网关在接收到所述转移信号后,将所述控制权转移至所述新安全网关。
优选地,所述更新安全证书的请求包括新增安全证书的请求或修改安全证书的请求。
优选地,所述新安全证书包括SSL安全证书或TLS安全证书。
优选地,所述控制权为Listener Socket控制权。
优选地,所述旧安全网关是通过本地Unix Socket将所述Listener Socket控制权转移至所述新安全网关。
优选地,在关闭所述旧安全网关之后还包括:
输出更新安全证书完毕的确认信号。
为解决上述技术问题,本发明提供一种管理安全证书的装置,包括:
更新单元,用于接收更新安全证书的请求,并依据所述请求更新本地安全证书以得到新安全证书;
加载单元,用于在本节点创建新安全网关,并将所述新安全证书加载至所述新安全网关;
重载单元,用于控制所述新安全网关和旧安全网关同时侦听TCP端口号,直到所述旧安全网关将控制权转移至所述新安全网关,并在所述旧安全网关执行完最后一个访问请求后关闭所述旧安全网关。
优选地,所述重载单元包括控制子单元,用于控制所述新安全网关和旧安全网关同时侦听TCP端口号;
判断子单元,用于判断旧安全网关是否将控制权转移至所述新安全网关,并在所述旧安全网关将所述控制权转移至所述新安全网关后触发关闭子单元;
所述关闭子单元,用于在所述旧安全网关执行完最后一个访问请求后关闭所述旧安全网关;
其中,所述判断子单元在判断出存在以下步骤时确定所述旧安全网关将控制权转移至所述新安全网关;
所述新安全网关向所述旧安全网关发送用于停止侦听所述TCP端口号的停止信号;
所述旧安全网关在接收到所述停止信号后,停止侦听所述TCP端口号;
所述新安全网关向所述旧安全网关发送用于转移所述控制权的转移信号;
所述旧安全网关在接收到所述转移信号后,将所述控制权转移至所述新安全网关。
优选地,还包括:
确认单元,用于在关闭所述旧安全网关之后输出更新安全证书完毕的确认信号。
为解决上述技术问题,本发明提供一种管理安全证书的设备,包括存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的管理安全证书的方法的步骤。
为解决上述技术问题,本发明提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的管理安全证书的方法的步骤。
本发明所提供的管理安全证书的方法,在接收到更新安全证书的请求后更新本地安全证书以得到新安全证书,然后在本节点创建新安全网关,并将新安全证书加载至新安全网关;最后控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。由此可见,本方法能够利用新安全网关逐步替代旧安全网关,克服了访问中断的问题,另外,由于是在本节点创建新安全网关,不影响其它节点,简化了更新过程,最后由于不需要其它节点参与,并且安全网关本身具有负载均衡的功能,因此无需设置负载均衡器,降低了硬件成本。
最后,本发明所提供的管理安全证书的装置、设备及计算机可读存储介质,与上述方法对应,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种管理安全证书的方法的流程图;
图2为本发明实施例提供的一种管理安全证书的场景示意图;
图3为本发明实施例提供的一种新旧安全网关的交互示意图;
图4为本发明实施例提供的另一种管理安全证书的方法的流程图;
图5为本发明实施例提供的一种管理安全证书的装置的结构图;
图6为本发明实施例提供的一种管理安全证书的设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
本发明的核心是提供一种管理安全证书的方法、装置、设备及计算机存储介质,用于在一个节点上实现安全证书的更新,从而降低更新的过程,并且无需借助负载均衡器,有效降低了硬件成本。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
需要说明的是,本方法是以节点上的服务器作为执行对象来说明。
图1为本发明实施例提供的一种管理安全证书的方法的流程图。如图1所示,该方法包括:
S10:接收更新安全证书的请求,并依据请求更新本地安全证书以得到新安全证书。
在具体实施中,当需要更新安全证书时,需要系统管理员依据具体需求将新安全证书加入,此时相当于接收更新安全证书的请求,在接收到该请求后,在本地更新安全证书,相当于此时,本地的安全证书就是新安全证书。需要说明的是,对于安全证书的类型,本发明不作限定,可以是SSL安全证书或TLS安全证书。另外,本步骤中的更新安全证书的请求具体包括新增安全证书的请求或修改安全证书的请求。也就是说,更新操作可以是新增或修改。可以理解的是,如果是新增安全证书,则不需要对旧安全证书做特殊处理,如果是修改安全证书,则除了更新本地安全证书外,还需要删除旧安全证书,或者设置旧安全证书无效。在具体实施中,S10是通过安全证书管理守护进程实现的,具体实现过程如下。
1)新增安全证书的过程:首先调用操作系统标准的Posix文件创建接口创建一个安全证书文件,其次调用操作系统标准的Posix文件写入接口将安全证书内容写入安全证书文件;
2)修改安全证书的过程:调用操作系统标准的Posix文件写入接口将更新后的安全证书内容写入安正证书文件(覆盖方式)。
S11:在本节点创建新安全网关,并将新安全证书加载至新安全网关。
需要说明的是,本步骤中的新安全网关是在本节点创建的,如果集群中有多个节点,每个节点有自己的服务器,那么如果节点1接收到更新安全证书的请求,那么步骤S11也是在节点1上创建新安全网关,而不是在节点2或是其它节点创建。这样的创建方式,可以避免由于在不同节点创建新安全网关后,还需要加入负载均衡器等问题。
另外,本步骤也是通过安全证书管理守护进程实现的,安全网关实际上就是服务器上的一个可执行程序,安全守护进程只需要执行一条应用的启动命令就可以实现相应的操作,以Linux为例启动命令可以为:
./daemon start--config=/var/config/perm.cert,启动参数里的这一段“--config=/var/config/perm.cert”就是告诉新安全证书去加载这个证书。
对于安全证书管理守护进程来说,在执行S10和S11上是有先后顺序的,首先要执行S10,然后在执行S11。
S12:控制新安全网关和旧安全网关同时侦听TCP端口号。
TCP端口号是为TCP协议通信提供服务的端口。TCP(Transmission ControlProtocol),是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transportlayer)通信协议,由IETF的RFC 793定义。在计算机网络OSI模型中,它完成第四层传输层所指定的功能。通常情况下用户所用的电脑与网络连接的许多应用都是通过TCP端口所实现的。本发明中管理安全证书的方法中涉及到的通信交互就是通过TCP端口实现。
具体控制如下:在S11创建了新安全网关后,服务器控制新安全网关启动,新的安全网关启动时调用操作系统标准的Posix Socket接口开始侦听TCP端口号并带上了SO_REUSEPORT选项。在创建新安全网关后,旧安全网关也是存在的,此时旧安全网关仍然在正常侦听TCP端口号,然后解析TCP端口,并依据TCP端口号发送的用户访问请求访问对应的应用,从而响应用户的访问请求。
由此可见,此时新安全网关和旧安全网关会同时侦听相同的TCP端口号,新的TCP连接请求会分摊到新安全网关和旧安全网关。
由于新安全网关和旧安全网关本身就具有负载均衡的功能,因此,在具体实施中,即使新安全网关和旧安全网关同时侦听相同的TCP端口号,二者也是将该端口号中的请求按照队列的方式独立执行,例如,一个请求发送后是以队列的形式存在的,假如分为队列1,队列2,则旧安全网关执行队列1,新安全网关执行队列2,二者各自侦听一个队列,共同响应一个完整的访问请求。
S13:控制旧安全网关将控制权转移至新安全网关。
对于旧安全网关来说,除了要响应请求外,还要逐步将控制权转移至新安全网关。这里的控制权的转移是保证已经进入接收到的TCP SYNC报文能够得到新安全网关的正确响应。
本步骤中,可以由安全守护进程实现,安全守护进程在控制新安全网关和旧安全网关同时侦听TCP端口号后,触发新安全网关向旧安全网关索要控制权。对于旧安全网关来说是利用Linux/Unix操作系统的SCM_RIGHTS特性,通过unix socket将网络通信用的TCPsocket(文件描述符)控制权转移给新的安全网关进程,这样TCP socket中的SYNC报文就能够上送给新的安全网关进程,并得到合适的处理。
S14:在旧安全网关执行完最后一个访问请求后关闭旧安全网关。
在旧安全网关将控制权转移至新安全网关后,将启动时所调用操作系统标准的Posix Socket接口关闭,则旧安全网关就不再侦听TCP端口号,也就无法再接收新的访问请求,那么旧安全网关就只执行当前还剩余的访问请求,直到执行完最后一个为止。
对于新安全网关来说,在旧安全网关将控制权转移后,就会独立完成全部的访问请求,相当于彻底接替了旧安全网关。在上述过程中,无论在哪种场景,都可以正常完成用户的访问请求,而没有出现访问中断的情况。
为了让本领域技术人员更加清楚上述技术方案,下文给出一种应用场景实施例。需要说明的是,应用场景实施例仅仅是某种特定场景下的实施例,并不代表只有这一种特定场景。
图2为本发明实施例提供的一种管理安全证书的场景示意图。如图2所示,终端用户通过HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer,是以安全为目标的HTTP通道)方式与安全网关创建通信连接。服务端包含有多种微应用,每种微应用对应实现一种功能,当终端用户想要访问某一个微应用时,会将访问请求发送给安全网关,由安全网关判断要访问哪一个微应用,然后再返回与该微应用相对应的数据,从而实现一个完整的访问过程。以上是终端用户与服务端的通信模式,在该通信模式中,安全网关是连接终端用户和服务端的枢纽,在该过程中,如果安全网关发生变更,则需要将用户的访问请求由旧安全网关加载到新安全网关,从而实现正常的访问。
管理员将更新安全证书的请求发送给服务器,服务器解析该请求具体是要新增安全证书还是修改安全证书,以修改安全证书为例,服务器开启安全证书管理守护进程,该进程会将管理员发送的新安全证书添加至本地,此时,旧安全证书依然存在,旧安全网关依然是依据旧安全证书运行。然后安全证书管理守护进程在本节点创建新安全网关,即重载安全网关,并将新安全证书加载至新安全网关。此时,旧安全网关依然在正常运行,但是新安全网关只是加载新安全证书,并未启动。安全管理守护进程控制新安全网关启动,从而新安全网关开始侦听TCP端口号,在这个过程中,旧安全网关也在侦听TCP端口号,那么由TCP端口号发送过来的访问请求就会由新安全网关和旧安全网关执行,由于一个请求发送后是以队列的形式存在的,二者各自侦听一个队列,共同响应一个完整的访问请求。在新安全网关和旧安全网关同时响应访问请求的过程中,安全守护进程触发新安全网关向旧安全网关发送用于停止侦听TCP端口号的停止信号,此时旧安全网关在接收到停止信号后,利用Linux/Unix操作系统的SCM_RIGHTS特性,通过unix socket将网络通信用的TCP socket(文件描述符)控制权转移给新的安全网关进程,这样TCP socket中的SYNC报文就能够上送给新的安全网关进程,并得到合适的处理。安全管理守护进程在检测到旧安全网关执行完最后一个访问请求后关闭旧安全网关。
本实施例提供的管理安全证书的方法,在接收到更新安全证书的请求后更新本地安全证书以得到新安全证书,然后在本节点创建新安全网关,并将新安全证书加载至新安全网关;最后控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。由此可见,本方法能够利用新安全网关逐步替代旧安全网关,克服了访问中断的问题,另外,由于是在本节点创建新安全网关,不影响其它节点,简化了更新过程,最后由于不需要其它节点参与,并且安全网关本身具有负载均衡的功能,因此无需设置负载均衡器,降低了硬件成本。
图3为本发明实施例提供的一种新旧安全网关的交互示意图。在上述实施例的基础上,作为优选地实施方式,旧安全网关将控制权转移至新安全网关具体包括:
S20:新安全网关向旧安全网关发送用于停止侦听TCP端口号的停止信号。
S21:旧安全网关在接收到停止信号后,停止侦听TCP端口号。
S22:新安全网关向旧安全网关发送用于转移控制权的转移信号。
S23:旧安全网关在接收到转移信号后,将控制权转移至新安全网关。
其中,S22中的控制权具体为Listener Socket控制权。旧安全网关具体是通过本地Unix Socket将Listener Socket控制权转移至新安全网关。
图4为本发明实施例提供的另一种管理安全证书的方法的流程图。在上述实施例的基础上,作为优选地实施方式,在关闭旧安全网关之后还包括:
S30:输出更新安全证书完毕的确认信号。
为了让系统管理员能够及时确认新安全证书是否更新成功,本实施例中还输出确认信号。可以理解的是,确认信号的发送方式有多种,可以是在显示器的特定位置显示,或者以邮件的方式发送,或者以短信的方式发送,本实施例不作限定。
上述实施例中对于管理安全证书的方法进行了详细说明,本发明还提供一种管理安全证书的装置及设备的实施例。需要说明的是,装置部分的实施例和设备部分的实施例是从两个角度进行描述,一种是基于功能模块的角度,另一种是基于硬件的角度。
图5为本发明实施例提供的一种管理安全证书的装置的结构图。该装置包括:
更新单元10,用于接收更新安全证书的请求,并依据请求更新本地安全证书以得到新安全证书;
加载单元11,用于在本节点创建新安全网关,并将新安全证书加载至新安全网关;
重载单元12,用于控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。
由于本实施例与方法部分的实施例相互对应,因此本部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本实施例提供的管理安全证书的装置,包括更新单元、加载单元和重载单元,具体实现如下方法:在接收到更新安全证书的请求后更新本地安全证书以得到新安全证书,然后在本节点创建新安全网关,并将新安全证书加载至新安全网关;最后控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。由此可见,本装置能够利用新安全网关逐步替代旧安全网关,克服了访问中断的问题,另外,由于是在本节点创建新安全网关,不影响其它节点,简化了更新过程,最后由于不需要其它节点参与,并且安全网关本身具有负载均衡的功能,因此无需设置负载均衡器,降低了硬件成本。
作为一种优选地实施方式,重载单元包括控制子单元,用于控制新安全网关和旧安全网关同时侦听TCP端口号;
判断子单元,用于判断旧安全网关是否将控制权转移至新安全网关,并在旧安全网关将控制权转移至新安全网关后触发关闭子单元;
关闭子单元,用于在旧安全网关执行完最后一个访问请求后关闭旧安全网关;
其中,判断子单元在判断出存在以下步骤时确定旧安全网关将控制权转移至新安全网关;
新安全网关向旧安全网关发送用于停止侦听TCP端口号的停止信号;
旧安全网关在接收到停止信号后,停止侦听TCP端口号;
新安全网关向旧安全网关发送用于转移控制权的转移信号;
旧安全网关在接收到转移信号后,将控制权转移至新安全网关。
作为一种优选地实施方式,还包括:
确认单元,用于在关闭旧安全网关之后输出更新安全证书完毕的确认信号。
以上各优选地实施方式可参见方法实施例中的相对应的部分,本实施例不再赘述。
图6为本发明实施例提供的一种管理安全证书的设备的结构图。如图6所示,该设备包括存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例所述的管理安全证书的方法的步骤。在本发明的一些实施例中,处理器和存储器可通过总线或其它方式连接。
本实施例提供的管理安全证书的设备,包括存储器和处理器,处理器在执行存储器中存储的计算机程序时能够实现如下方法:在接收到更新安全证书的请求后更新本地安全证书以得到新安全证书,然后在本节点创建新安全网关,并将新安全证书加载至新安全网关;最后控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。由此可见,本设备能够利用新安全网关逐步替代旧安全网关,克服了访问中断的问题,另外,由于是在本节点创建新安全网关,不影响其它节点,简化了更新过程,最后由于不需要其它节点参与,并且安全网关本身具有负载均衡的功能,因此无需设置负载均衡器,降低了硬件成本。
最后,本发明还一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述实施例所述的管理安全证书的方法的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
由于本实施例与方法部分的实施例相互对应,因此本部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本实施例提供的计算机可读存储介质,存储有计算机程序,该程序被执行时能够实现如下方法:在接收到更新安全证书的请求后更新本地安全证书以得到新安全证书,然后在本节点创建新安全网关,并将新安全证书加载至新安全网关;最后控制新安全网关和旧安全网关同时侦听TCP端口号,直到旧安全网关将控制权转移至新安全网关,并在旧安全网关执行完最后一个访问请求后关闭旧安全网关。由此可见,本方法能够利用新安全网关逐步替代旧安全网关,克服了访问中断的问题,另外,由于是在本节点创建新安全网关,不影响其它节点,简化了更新过程,最后由于不需要其它节点参与,并且安全网关本身具有负载均衡的功能,因此无需设置负载均衡器,降低了硬件成本。
以上对本发明所提供的管理安全证书的方法、装置、设备及计算机存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种管理安全证书的方法,其特征在于,包括:
接收更新安全证书的请求,并依据所述请求更新本地安全证书以得到新安全证书;
在本节点创建新安全网关,并将所述新安全证书加载至所述新安全网关;
控制所述新安全网关和旧安全网关同时侦听TCP端口号,直到所述旧安全网关将控制权转移至所述新安全网关,并在所述旧安全网关执行完最后一个访问请求后关闭所述旧安全网关;
其中,所述旧安全网关将控制权转移至所述新安全网关包括:
所述新安全网关向所述旧安全网关发送用于停止侦听所述TCP端口号的停止信号;
所述旧安全网关在接收到所述停止信号后,停止侦听所述TCP端口号;
所述新安全网关向所述旧安全网关发送用于转移所述控制权的转移信号;
所述旧安全网关在接收到所述转移信号后,将所述控制权转移至所述新安全网关。
2.根据权利要求1所述的管理安全证书的方法,其特征在于,所述更新安全证书的请求包括新增安全证书的请求或修改安全证书的请求。
3.根据权利要求1或2所述的管理安全证书的方法,其特征在于,所述新安全证书包括SSL安全证书或TLS安全证书。
4.根据权利要求1所述的管理安全证书的方法,其特征在于,所述控制权为ListenerSocket控制权。
5.根据权利要求4所述的管理安全证书的方法,其特征在于,所述旧安全网关通过本地Unix Socket将所述Listener Socket控制权转移至所述新安全网关。
6.根据权利要求1所述的管理安全证书的方法,其特征在于,在关闭所述旧安全网关之后还包括:
输出更新安全证书完毕的确认信号。
7.一种管理安全证书的装置,其特征在于,包括:
更新单元,用于接收更新安全证书的请求,并依据所述请求更新本地安全证书以得到新安全证书;
加载单元,用于在本节点创建新安全网关,并将所述新安全证书加载至所述新安全网关;
重载单元,用于控制所述新安全网关和旧安全网关同时侦听TCP端口号,直到所述旧安全网关将控制权转移至所述新安全网关,并在所述旧安全网关执行完最后一个访问请求后关闭所述旧安全网关;
其中,所述旧安全网关将控制权转移至所述新安全网关包括:
所述新安全网关向所述旧安全网关发送用于停止侦听所述TCP端口号的停止信号;
所述旧安全网关在接收到所述停止信号后,停止侦听所述TCP端口号;
所述新安全网关向所述旧安全网关发送用于转移所述控制权的转移信号;
所述旧安全网关在接收到所述转移信号后,将所述控制权转移至所述新安全网关。
8.一种管理安全证书的设备,其特征在于,包括存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的管理安全证书的方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的管理安全证书的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811093954.6A CN109067546B (zh) | 2018-09-19 | 2018-09-19 | 一种管理安全证书的方法、装置、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811093954.6A CN109067546B (zh) | 2018-09-19 | 2018-09-19 | 一种管理安全证书的方法、装置、设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109067546A CN109067546A (zh) | 2018-12-21 |
| CN109067546B true CN109067546B (zh) | 2019-06-21 |
Family
ID=64762149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811093954.6A Active CN109067546B (zh) | 2018-09-19 | 2018-09-19 | 一种管理安全证书的方法、装置、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109067546B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026452A (zh) * | 2006-02-09 | 2007-08-29 | 国际商业机器公司 | 用于在计算机中更新当前加密证书的系统和方法 |
| CN101909067A (zh) * | 2010-08-26 | 2010-12-08 | 北京天融信科技有限公司 | 安全网关集群防病毒的方法及系统 |
| US8707027B1 (en) * | 2012-07-02 | 2014-04-22 | Symantec Corporation | Automatic configuration and provisioning of SSL server certificates |
| CN104158692A (zh) * | 2014-08-25 | 2014-11-19 | 烽火通信科技股份有限公司 | 基于xml实现家庭网关数据配置管理的方法 |
| CN105554005A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 企业网络安全管理方法、装置、系统和安全网关 |
| CN105740019A (zh) * | 2016-01-29 | 2016-07-06 | 公安部交通管理科学研究所 | 分布式网络环境下应用软件自动升级发布系统及方法 |
| CN106375281A (zh) * | 2016-08-25 | 2017-02-01 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN107241428A (zh) * | 2017-06-30 | 2017-10-10 | 北京百度网讯科技有限公司 | 一种在基于容器的共享虚拟主机中实现https的方法和装置 |
| CN107733882A (zh) * | 2017-09-30 | 2018-02-23 | 亚数信息科技(上海)有限公司 | Ssl证书自动化部署方法及设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1980224A (zh) * | 2005-12-01 | 2007-06-13 | 华为技术有限公司 | 基于主备网关设备状态切换后业务恢复的方法及系统 |
| US9003490B2 (en) * | 2011-03-16 | 2015-04-07 | Red Hat, Inc. | Using entitlement certificates to manage product assets |
| KR20130021774A (ko) * | 2011-08-23 | 2013-03-06 | 주식회사 스마트솔루션 | 전자인증서 기반 보안서비스 제공방법 및 시스템 |
| US20150372865A1 (en) * | 2014-06-23 | 2015-12-24 | Rockwell Automation Technologies, Inc. | System and method for autonomous dynamic provisioning |
-
2018
- 2018-09-19 CN CN201811093954.6A patent/CN109067546B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026452A (zh) * | 2006-02-09 | 2007-08-29 | 国际商业机器公司 | 用于在计算机中更新当前加密证书的系统和方法 |
| CN101909067A (zh) * | 2010-08-26 | 2010-12-08 | 北京天融信科技有限公司 | 安全网关集群防病毒的方法及系统 |
| US8707027B1 (en) * | 2012-07-02 | 2014-04-22 | Symantec Corporation | Automatic configuration and provisioning of SSL server certificates |
| CN104158692A (zh) * | 2014-08-25 | 2014-11-19 | 烽火通信科技股份有限公司 | 基于xml实现家庭网关数据配置管理的方法 |
| CN105554005A (zh) * | 2015-12-24 | 2016-05-04 | 北京奇虎科技有限公司 | 企业网络安全管理方法、装置、系统和安全网关 |
| CN105740019A (zh) * | 2016-01-29 | 2016-07-06 | 公安部交通管理科学研究所 | 分布式网络环境下应用软件自动升级发布系统及方法 |
| CN106375281A (zh) * | 2016-08-25 | 2017-02-01 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN107241428A (zh) * | 2017-06-30 | 2017-10-10 | 北京百度网讯科技有限公司 | 一种在基于容器的共享虚拟主机中实现https的方法和装置 |
| CN107733882A (zh) * | 2017-09-30 | 2018-02-23 | 亚数信息科技(上海)有限公司 | Ssl证书自动化部署方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109067546A (zh) | 2018-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2533638C2 (ru) | Способ и устройство для конфигурирования данных | |
| CN104346559B (zh) | 权限请求响应方法及相应的装置 | |
| US8214471B2 (en) | Synchronizing information through profile management between a host system and a mobile device | |
| CN102333081B (zh) | 认证方法、设备及系统 | |
| CN104268479B (zh) | 一种文本操作隔离的方法、装置及移动终端 | |
| US9413778B1 (en) | Security policy creation in a computing environment | |
| US9363663B2 (en) | Method and apparatus for providing cellphone service from any device | |
| US10200233B2 (en) | Dynamic account updating | |
| CN102307097A (zh) | 一种用户身份认证方法及系统 | |
| CN109547502A (zh) | 防火墙acl管理方法及装置 | |
| CN106844489A (zh) | 一种文件操作方法、装置以及系统 | |
| CN108347731A (zh) | 一种进行安全绑定的方法、介质、设备及终端 | |
| CN113452711A (zh) | 云桌面的单点登录方法及网络设备 | |
| CN104079437A (zh) | 实现权限管理控制的方法及终端 | |
| CN109067546B (zh) | 一种管理安全证书的方法、装置、设备及计算机存储介质 | |
| CN110324191B (zh) | 混合云部署方法、装置及系统 | |
| CN103138961B (zh) | 服务器控制方法、被控服务器及中心控制服务器 | |
| CN111262819B (zh) | 一种voip sdk接入控制方法及装置 | |
| CN116566656A (zh) | 资源访问方法、装置、设备及计算机存储介质 | |
| CN105376074A (zh) | 一种局域网内客户端计算机的启动、计时控制方法及系统 | |
| CN100364263C (zh) | 一种下一代网络终端的运营维护方法 | |
| CN116094814A (zh) | Vpn接入方法、装置、电子设备及存储介质 | |
| CN107959674B (zh) | 网关设备、对第三方ldap服务器用户的访问控制方法及系统 | |
| CN106533716A (zh) | 一种北向接口的管理方法和系统 | |
| CN115174603B (zh) | Nas服务系统、实现方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |