CN109413196A - 一种智能匹配https访问证书的方法 - Google Patents
一种智能匹配https访问证书的方法 Download PDFInfo
- Publication number
- CN109413196A CN109413196A CN201811346221.9A CN201811346221A CN109413196A CN 109413196 A CN109413196 A CN 109413196A CN 201811346221 A CN201811346221 A CN 201811346221A CN 109413196 A CN109413196 A CN 109413196A
- Authority
- CN
- China
- Prior art keywords
- certificate
- domain name
- https
- https access
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种智能匹配HTTPS访问证书的方法,涉及运维技术领域,包括:配置https端口监听,配置域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;解析ClientHello包,检查是否携带SNI扩展然后匹配域名证书,再进行TLS交互,最后判断域名证书是否与请求域名一致,再在IP或IP段对应关系表中查找IP状态然后根据状态选择相应的域名证书的过程,通过本发明提供的方法,优化了证书选择策略,作为一种更智能的HTTPS证书选择方法,对业务的可用性进行提高,而且无需HTTPS访问端进行扩展就可进行提高业务可用性质量。
Description
技术领域
本发明涉及运维技术领域,具体的说,是一种智能匹配HTTPS访问证书的方法。
背景技术
随着信息化时代的发展,国家发展进入了网络安全时代,互联网行业对于对外提供的服务的内容安全也越来越重视,在业务发展的同时,WEB服务的复用也越来越多,单机WEB服务支持多个HTTPS的域名的场景越来越常见。
但是目前很单机WEB服务支持多个HTTPS的域名的技术还存在很多问题,常见的就是HTTPS访问客户端不支持SNI,导致不能提供HTTPS服务而经常不可用,可用性较差。
发明内容
本发明的目的在于提供一种智能匹配HTTPS访问证书的方法,用于解决现有技术中HTTPS访问客户端不支持SNI,导致不能提供HTTPS服务而经常不可用,可用性较差的问题。
本发明通过下述技术方案解决上述问题:
一种智能匹配HTTPS访问证书的方法,该方法包括如下步骤:
步骤1:在单个WEB服务内配置https端口监听,配置多个域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;
步骤2:HTTPS访问客户端,客户端发送ClientHello;
步骤3:WEB服务接收到客户端发送的ClientHello包后对其进行解析,检查解析ClientHello包内是否携带SNI扩展;
步骤4:根据步骤3的检查结果,若ClientHello包内携带SNI扩展,WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取,通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端;若不携带,则从IP或IP段证书对应关系表查找域名证书,并标记为待确认状态;
步骤5:HTTPS访问客户端和WEB服务进行TLS交互,交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致;若不一致,客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接;
步骤6:根据步骤6中客户端的选择,若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求,查找证书检查表内该IP的状态,并将返回的域名证书状态设置为正常,在IP或IP段证书对应关系表内设置对应关系,返回对应的内容给HTTPS访问客户端;反之则WEB服务接收到HTTPS访问客户端关闭该tcp连接,查找证书检查表内该IP的状态,若该IP的返回的域名状态已经为正常则忽略,若为待确认则设置为异常;
步骤7:检查HTTPS访问客户端的IP地址在证书检查表的状态,若待发送的域名证书已经在该表内处于异常的状态,则随机选择其他的域名证书。
原来的单机多域名WEB服务仅是支持SNI扩展和单默认证书的配置,无法针对某些IP或者IP端进行证书的指定配置,且无法在HTTPS访问客户端不支持SNI的情况下正常提供访问,通过本发明提供的方法,优化了证书选择策略,作为一种更智能的HTTPS证书选择方法,对业务的可用性进行提高,而且无需HTTPS访问端进行扩展就可进行提高业务可用性质量。
优选地,所述步骤4中从IP或IP段证书对应关系表查找域名证书的过程包括如下步骤:
步骤4.1:获取HTTPS访问客户端的IP地址,从IP证书对应关系表内查找是否存在;
步骤4.2:若IP证书对应关系表中存在,则返回该IP地址对应的域名证书;若不存在,则从IP段证书对应关系表内查找,HTTPS访问客户端的IP地址已经在IP段证书对应关系表内存在则返回该IP地址对应的域名证书;
步骤4.3:如果在IP或IP段对应关系表都未查找到则返回默认域名证书。
优选地,所述步骤4中标记的待确认状态设置有效时间30分钟。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明优化了证书选择策略,作为一种更智能的HTTPS证书选择方法,对业务的可用性进行提高,而且无需HTTPS访问端进行扩展就可进行提高业务可用性和质量。
(2)本发明智能匹配用户HTTPS访问证书,适用范围广,对于所有HTTPS访问和WEB服务都可使用。
附图说明
图1为本发明的智能匹配HTTPS访问证书的方法流程示意图;
图2为本发明中的TLS握手原理图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合附图1所示,一种智能匹配HTTPS访问证书的方法,该方法包括如下步骤:
步骤1:在单个WEB服务内配置https端口监听,配置多个域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;
步骤2:HTTPS访问客户端,客户端发送ClientHello;
步骤3:WEB服务接收到客户端发送的ClientHello包后对其进行解析,检查解析ClientHello包内是否携带SNI扩展;
步骤4:根据步骤3的检查结果,若ClientHello包内携带SNI扩展,WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取,通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端;若不携带,则从IP或IP段证书对应关系表查找域名证书,并标记为待确认状态且设置有效时间30分钟,查找过程包括:
步骤4.1:获取HTTPS访问客户端的IP地址,从IP证书对应关系表内查找是否存在;
步骤4.2:若IP证书对应关系表中存在,则返回该IP地址对应的域名证书;若不存在,则从IP段证书对应关系表内查找,HTTPS访问客户端的IP地址已经在IP段证书对应关系表内存在则返回该IP地址对应的域名证书;
步骤4.3:如果在IP或IP段对应关系表都未查找到则返回默认域名证书;
步骤5:HTTPS访问客户端和WEB服务进行TLS交互,交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致;若不一致,客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接;
步骤6:根据步骤6中客户端的选择,若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求,查找证书检查表内该IP的状态,并将返回的域名证书状态设置为正常,在IP或IP段证书对应关系表内设置对应关系,返回对应的内容给HTTPS访问客户端;反之则WEB服务接收到HTTPS访问客户端关闭该tcp连接,查找证书检查表内该IP的状态,若该IP的返回的域名状态已经为正常则忽略,若为待确认则设置为异常;
步骤7:检查HTTPS访问客户端的IP地址在证书检查表的状态,若待发送的域名证书已经在该表内处于异常的状态,则随机选择其他的域名证书。
与现有技术相比起来,原来的单机多域名WEB服务仅是支持SNI扩展和单默认证书的配置,无法针对某些IP或者IP端进行证书的指定配置,且无法在HTTPS访问客户端不支持SNI的情况下正常提供访问,通过本发明提供的方法,优化了证书选择策略,作为一种更智能的HTTPS证书选择方法,对业务的可用性进行提高,而且无需HTTPS访问端进行扩展就可进行提高业务可用性质量。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。
Claims (3)
1.一种智能匹配HTTPS访问证书的方法,其特征在于,该方法包括如下步骤:
步骤1:在单个WEB服务内配置https端口监听,配置多个域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;
步骤2:HTTPS访问客户端,客户端发送ClientHello;
步骤3:WEB服务接收到客户端发送的ClientHello包后对其进行解析,检查解析ClientHello包内是否携带SNI扩展;
步骤4:根据步骤3的检查结果,若ClientHello包内携带SNI扩展,WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取,通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端;若不携带,则从IP或IP段证书对应关系表查找域名证书,并标记为待确认状态;
步骤5:HTTPS访问客户端和WEB服务进行TLS交互,交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致;若不一致,客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接;
步骤6:根据步骤5客户端的选择,若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求,查找证书检查表内该IP的状态,并将返回的域名证书状态设置为正常,在IP或IP段证书对应关系表内设置对应关系,返回对应的内容给HTTPS访问客户端;反之则WEB服务接收到HTTPS访问客户端关闭该tcp连接,查找证书检查表内该IP的状态,若该IP的返回的域名状态已经为正常则忽略,若为待确认则设置为异常;
步骤7:检查HTTPS访问客户端的IP地址在证书检查表的状态,若待发送的域名证书已经在该表内处于异常的状态,则随机选择其他的域名证书。
2.根据权利要求1所述的智能匹配HTTPS访问证书的方法,其特征在于,所述步骤4中从IP或IP段证书对应关系表查找域名证书的过程包括如下步骤:
步骤4.1:获取HTTPS访问客户端的IP地址,从IP证书对应关系表内查找是否存在;
步骤4.2:若IP证书对应关系表中存在,则返回该IP地址对应的域名证书;若不存在,则从IP段证书对应关系表内查找,HTTPS访问客户端的IP地址已经在IP段证书对应关系表内存在则返回该IP地址对应的域名证书;
步骤4.3:如果在IP或IP段对应关系表都未查找到则返回默认域名证书。
3.根据权利要求1所述的智能匹配HTTPS访问证书的方法,其特征在于,所述步骤4中标记的待确认状态设置有效时间30分钟。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811346221.9A CN109413196A (zh) | 2018-11-13 | 2018-11-13 | 一种智能匹配https访问证书的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811346221.9A CN109413196A (zh) | 2018-11-13 | 2018-11-13 | 一种智能匹配https访问证书的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109413196A true CN109413196A (zh) | 2019-03-01 |
Family
ID=65473137
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811346221.9A Pending CN109413196A (zh) | 2018-11-13 | 2018-11-13 | 一种智能匹配https访问证书的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109413196A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109921910A (zh) * | 2019-03-21 | 2019-06-21 | 平安科技(深圳)有限公司 | 证书状态的验证方法及装置、存储介质、电子装置 |
CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
CN111866214A (zh) * | 2020-07-28 | 2020-10-30 | 万商云集(成都)科技股份有限公司 | 一种动态绑定网站域名的方法及系统 |
CN111953706A (zh) * | 2020-08-21 | 2020-11-17 | 公安部第三研究所 | 基于https流量信息识别移动应用的方法 |
CN114844651A (zh) * | 2022-05-31 | 2022-08-02 | 唯思电子商务(深圳)有限公司 | 一种app客户端https证书强校验的方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104094554A (zh) * | 2012-01-27 | 2014-10-08 | 微软公司 | 无服务器名称指示(sni)的隐式ssl证书管理 |
CN106230602A (zh) * | 2016-09-09 | 2016-12-14 | 上海携程商务有限公司 | 数字证书的证书链的完整性检测系统及方法 |
CN108156160A (zh) * | 2017-12-27 | 2018-06-12 | 杭州迪普科技股份有限公司 | 连接建立方法和装置 |
-
2018
- 2018-11-13 CN CN201811346221.9A patent/CN109413196A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104094554A (zh) * | 2012-01-27 | 2014-10-08 | 微软公司 | 无服务器名称指示(sni)的隐式ssl证书管理 |
CN106230602A (zh) * | 2016-09-09 | 2016-12-14 | 上海携程商务有限公司 | 数字证书的证书链的完整性检测系统及方法 |
CN108156160A (zh) * | 2017-12-27 | 2018-06-12 | 杭州迪普科技股份有限公司 | 连接建立方法和装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109921910A (zh) * | 2019-03-21 | 2019-06-21 | 平安科技(深圳)有限公司 | 证书状态的验证方法及装置、存储介质、电子装置 |
CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
CN111866214A (zh) * | 2020-07-28 | 2020-10-30 | 万商云集(成都)科技股份有限公司 | 一种动态绑定网站域名的方法及系统 |
CN111953706A (zh) * | 2020-08-21 | 2020-11-17 | 公安部第三研究所 | 基于https流量信息识别移动应用的方法 |
CN114844651A (zh) * | 2022-05-31 | 2022-08-02 | 唯思电子商务(深圳)有限公司 | 一种app客户端https证书强校验的方法及系统 |
CN114844651B (zh) * | 2022-05-31 | 2024-05-28 | 唯思电子商务(深圳)有限公司 | 一种app客户端https证书强校验的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109413196A (zh) | 一种智能匹配https访问证书的方法 | |
CN103491135B (zh) | 自匹配数据格式的装置和方法 | |
CN106130913B (zh) | 一种多运营商接入情况下基于策略的多wan口路由器的选路方法 | |
CN110049022A (zh) | 一种域名访问控制方法、装置和计算机可读存储介质 | |
WO2015043455A1 (zh) | 数据传输方法、设备及系统 | |
CN104967644B (zh) | 消息推送方法、装置及系统 | |
US11330035B2 (en) | Method and server for HTTP protocol-based data request | |
CN108390955A (zh) | 域名获取方法、网站访问方法及服务器 | |
CN105245492B (zh) | 一种iptv专网下并行访问公共互联网的方法 | |
CN105634835B (zh) | 一种上网数据的云审计方法、系统以及审计路由器 | |
CN107222561A (zh) | 一种传输层反向代理方法 | |
CN103024793B (zh) | 通信业务质量评估体系的构建方法及系统 | |
CN109617780A (zh) | 接入网络的方法、装置、终端设备及机器可读存储介质 | |
US20130212159A1 (en) | Method, Apparatus and System for Intercepted Triggering of Execution of Internet Services | |
CN103905482B (zh) | 推送信息的方法、推送服务器和系统 | |
CN101262353A (zh) | 过滤网址的通信方法、装置及系统 | |
CN111211934A (zh) | 集群远程通信测试方法以及系统 | |
US20170149916A1 (en) | Page Push Method, Device and Server, and Centralized Network Management Controller | |
CN103891236B (zh) | 恢复会话内容的传输的方法,终端和服务器 | |
US20220191290A1 (en) | Method and apparatus for assisting smart device in network communication | |
CN105812345B (zh) | 一种实现网页到客户端通信的方法及装置 | |
CN103248654B (zh) | 虚拟桌面服务参数的协商方法、装置及系统 | |
CN103513986A (zh) | 一种在无操作系统设备中利用CGI技术实现动态web服务器的方法 | |
CN103327490B (zh) | 营业网点互联网wifi接入系统及方法 | |
CN110442611A (zh) | 一种公司品牌域名自动化查询方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |
|
RJ01 | Rejection of invention patent application after publication |