CN111865992B - 一种acme集中管理系统及其负载均衡方法 - Google Patents

一种acme集中管理系统及其负载均衡方法 Download PDF

Info

Publication number
CN111865992B
CN111865992B CN202010718560.6A CN202010718560A CN111865992B CN 111865992 B CN111865992 B CN 111865992B CN 202010718560 A CN202010718560 A CN 202010718560A CN 111865992 B CN111865992 B CN 111865992B
Authority
CN
China
Prior art keywords
acme
verification
domain name
module
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010718560.6A
Other languages
English (en)
Other versions
CN111865992A (zh
Inventor
厚建勇
陈启敬
程锦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yastar Information Technology Shanghai Co ltd
Original Assignee
Yastar Information Technology Shanghai Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yastar Information Technology Shanghai Co ltd filed Critical Yastar Information Technology Shanghai Co ltd
Priority to CN202010718560.6A priority Critical patent/CN111865992B/zh
Publication of CN111865992A publication Critical patent/CN111865992A/zh
Application granted granted Critical
Publication of CN111865992B publication Critical patent/CN111865992B/zh
Priority to US17/382,391 priority patent/US11316703B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers

Abstract

本发明涉及一种ACME集中管理系统及其负载均衡方法,该系统分别连接ACME客户端以及多个证书颁发机构CA,包括ACME卸载模块以及分别与ACME卸载模块连接的统计模块、策略模块、验证模块和通知模块,所述的ACME卸载模块与ACME客户端通信,并且与多个证书颁发机构CA通信。与现有技术相比,本发明具有避免验证频繁、快速签发证书副本、更高效的证书签发等优点。

Description

一种ACME集中管理系统及其负载均衡方法
技术领域
本发明涉及互联网通信技术领域,尤其是涉及一种ACME集中管理系统及其负载均衡方法。
背景技术
ACME(Automatic Certificate Management Environment,rfc8555)协议是互联网标准,根据该协议,首先用户通过下载方式在需要部署证书服务器节点上安装好ACME客户端,然后通过命令行指定CA(Certificate Authority,证书颁发机构)提供的目录URL,指定私钥类型,指定验证方式,指定验证路径(文件路径或DNS服务商API),然后指定部署路径,证书重载命令,最后完成证书的申请部署,ACME客户端会周期性检查自己维护的证书列表是否需要更新,并自动化完成上次的申请动作。
在实际应用中,ACME作为自动化证书申请标准,非常便利,也产生了多个基于ACME协议的证书自动化申请和部署的客户端,结合ACME的服务端(例如Let’sEncrypt免费证书)可以快速方便的获得SSL/TLS证书,导致了HTTPS的普及和HTTPS所依赖的SSL/TLS证书大规模应用,但也带来了管理的难题:
1、企业可选择的提供ACME的商业CA很少
商业CA签发的证书具有更高的可信度和服务保障,目前众多商业CA是不支持ACME协议,一方面是商业策略,例如目前DigiCert只对OV、EV开始尝试提供ACME支持,不对大规模用的DV提供,目前是Beta阶段。另一方面是支持ACME对传统CA来说有一定技术挑战和审计风险,通过API也能达到自动化的效果,如果企业想要通过ACME协议来自动化管理证书,又需要有多个可供选择的商业CA品牌,这就变得非常被动。
2、大量ACME客户端节点重复申请新证书,导致失败率过高,成本增加
正常使用的ACME客户端是部署在每台WEBSERVER服务器上,生成独立ACME账户,对于同一个域名申请证书,会导致大量CA域名所有权验证,从而导致申请时间长,失败率高,甚至会触发CA速率限制(例如Let’sEncrypt每周限制5份),导致无法申请证书。同时对于使用ACME来适配商业CA,如果重复申请新证书,目前的商业CA普遍的计费策略会导致费用增加。
3、证书验证时间长,因缓存等问题造成签发失败率过高,维护成本高
为了验证域名所有权,需要通过多种方式进行验证,比如DNS、HTTP文件验证。DNS验证会有一个验证值生效时间的问题,当在域名服务商处添加好验证值,而验证值未能及时生效,造成签发失败。而HTTP文件验证需要用户有较高的运维知识,需要确保文件能够被正确访问到,如ACME协议中的.well-known/acme-challenge/<token>路径,实际操作过程中容易出错。
4、ACME客户端因网络或CA故障不能自动切换证书品牌
当使用ACME客户端申请证书时,目前的客户端自动化过程中证书申请、续期是和一个固定的地址进行通信,因网络抖动(光缆挖断)或CA出现重大bug造成自动化证书更新不成功。申请过程不能够智能的切换申请渠道,造成证书申请失败。
5、无法感知到证书申请失败的情况
目前的ACME客户端是直接与CA提供的ACMEURL地址通信(例如Let’sEncrypt的https://acme-v02.api.letsencrypt.org/directory),当网络发生抖动,或CA故障等原因造成请求失败时,也无法感知到,无法及时作出调整。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种ACME集中管理系统及其负载均衡方法。
本发明的目的可以通过以下技术方案来实现:
一种ACME集中管理系统,该系统分别连接ACME客户端以及多个证书颁发机构CA,包括ACME卸载模块以及分别与ACME卸载模块连接的统计模块、策略模块、验证模块和通知模块,所述的ACME卸载模块与ACME客户端通信,并且与多个证书颁发机构CA通信。
该系统的工作流程包括以下步骤:
1)ACME客户端向ACME卸载模块发起证书申请,ACME卸载模块进行数据解析卸载;
2)ACME卸载模块通过策略模块设定的策略选择证书颁发机构CA并提交订单到对应的证书颁发机构CA开始申请证书,
3)ACME卸载模块通过验证模块设置验证值并通过证书颁发机构CA对订单进行验证;
4)验证通过后ACME卸载模块通过通知模块签发申请状态通知,并通过统计模块统计数据。
一种ACME集中管理系统的负载均衡方法,包括以下步骤:
1)用户通过ACME集中管理系统创建ACME目录URL获得URL地址,并且携带与订单绑定的token;
2)ACME客户端通过ACME目录URL获取API列表;
3)ACME客户端通过调用newNonce函数与newAccount API完成账户的注册;
4)ACME客户端通过调用newNonce函数与newOrder API将域名信息带入ACME集中管理系统;
5)ACME集中管理系统通过AMCE客户端请求的ACME目录URL中的token获取到对应的策略,具体为:Token绑定订单的主证书颁发机构CA和备用证书颁发机构CA,当主证书颁发机构CA签发失败时,自动切换到备用证书颁发机构CA;
6)ACME集中管理系统通过ACME客户端请求的ACME目录URL中的token获取到对应的订单信息;
7)ACME集中管理系统创建一个包含域名待提交到证书颁发机构CA且未带有CSR的CA订单;
8)ACME集中管理系统返回携带订单ID以及用以域名所有权验证的ACMEAuthorization数据,并在此步中欺骗ACME客户端表示ACME客户端的域名已通过验证,并发送已通过验证信息,由此跳过由传统ACME客户端来自动配置完成ACME验证域名验证的过程;
9)ACME客户端生成私钥和CSR,通过调用newNonce函数与finalizeOrder函数提交订单ID与CSR到ACME集中管理系统;
10)ACME集中管理系统将待提交的CA订单与CSR一并提交到证书颁发机构CA获取到域名验证信息,调用验证模块进行域名验证;
11)验证模块收到需要验证的域名和验证值,通过文件代理和DNS CNAME授权设置验证值;
12)ACME集中管理系统调用CA证书获取API,证书颁发机构CA完成域名验证后签发并返回证书内容;
13)ACME集中管理系统按照ACME协议方式将证书内容返回给ACME客户端,完成证书签发过程。
所述的步骤7)中,当订单在多个ACME客户端形成竞争关系时,通过对订单加互斥锁避免多个ACME客户端同时请求同一ACME目录URL带来的冲突,并且对后续的同一请求采取挂起的方式。
所述的步骤7)中,对于取到互斥锁的ACME客户端,ACME集中管理系统创建一个包含域名待提交到证书颁发机构CA且未带有CSR的CA订单。
在按照步骤1)-13)完成具有竞争关系的多个ACME客户端中的ACME客户端A的证书签发过程后,对于具有竞争关系的多个ACME客户端中的ACME客户端B,通过以下步骤完成证书签发过程:
14)ACME集中管理系统释放ACME客户端A的互斥锁后,ACME客户端B获取到互斥锁,ACME客户端B获取ACME客户端A创建的CA订单号;
15)ACME客户端B重复步骤8)-9);
16)ACME集中管理系统将对已提交的CA订单与CSR一并提交到证书颁发机构CA获取到域名验证信息,调用验证模块进行域名验证;
17)重复步骤11)-13)完成ACME客户端B的证书签发过程。
对于具有竞争关系的多个ACME客户端中的其余ACME客户端,按照步骤14)-17)依次完成证书签发过程。
所述的步骤11)中,通过ACME客户端请求的ACME目录URL中的token获取到的订单的策略所绑定的域名验证方式进行所有权验证。
当策略所绑定的域名验证方式为文件代理时,通过以下步骤完成域名所有权验证:
1101)验证模块收到需要验证的域名和验证值,将域名作为Key,将验证值作为Value存储到KV存储器中;
1102)证书颁发机构CA进行域名验证时,请求域名的HTTP或HTTPS地址,通过用户预先设置的到ACME集中管理系统的文件代理的规则,将证书颁发机构CA的域名所有权验证反向代理到验证模块并携带域名作为HTTP请求的Host头部字段;
1103)验证模块通过获取反向代理的HTTP请求中的Host头部字段得到需要验证的域名;
1104)验证模块通过域名在KV存储器获取到对应的验证值并通过HTTP文本返回给证书颁发机构CA。
当策略所绑定的域名验证方式为DNS CNAME授权时,通过以下步骤完成域名所有权验证:
1111)验证模块收到需要验证的域名和验证值,将域名作为Key,将验证值作为Value存储到KV存储器中;
1112)证书颁发机构CA进行域名验证时,请求域名的DNS TXT记录,该域名通过用户预先在其DNS解析服务配置的DNS CNAME记录指向验证模块提供的DNS解析服务所提供的DNS CNAME代理域名;
1113)证书颁发机构CA所请求的域名验证请求将被代理验证模块提供的DNS解析服务;
1114)DNS解析服务获取到证书颁发机构CA所请求的DNS CNAME代理域名的DNSTXT解析请求,通过提取请求中的域名前缀的方式得到所请求的域名;
1115)验证模块通过域名在KV存储器获取到对应的验证值并通过DNS TXT记录方式返回给证书颁发机构CA。
与现有技术相比,本发明具有以下优点:
一、通过本系统在ACME客户端<->本系统<->CA之间的代理,能够完成证书签发状态的统计,避免多服务器节点对同一证书的申请的验证频繁,搭配相关策略,能够有效提高证书颁发成功率。
二、当多个ACME客户端节点同时申请证书时,通过采用先处理第一个请求,并挂起等待其他请求,直到第一个请求响应后,获得订单号,其他请求通过重颁发机制快速对此订单进行重颁发的处理方式,可以无需产生新订单,同时跳过域名验证,快速签发证书副本。
三、本发明基于ACME协议,结合ACME卸载模块、统计模块、策略模块、验证模块和通知模块,实现了更高效的证书签发申请以及可视化的申请图表和更低的签发成本
附图说明
图1为ACME集中管理系统的原理框图。
图2为负载均衡的方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
如图1所示,本发明提供一种ACME集中管理系统及其负载均衡方法,本发明的基本流程如下:
首先,ACME客户端发起证书申请,ACME卸载模块进行数据解析卸载,通过策略模块指定的策略开始申请证书,验证值通过验证模块快速设置,申请状态及时通过通知模块告知,最后形成了统计模块能看到的数据。
如图2所示,本发明提供的负载均衡方法流程如下:
ACME卸载模块是整个系统的核心,它提供了token鉴权,ACME客户端API,对接各个CA系统的功能,如图1所示,所有的功能流程都是从ACME卸载模块开始的,具体流程为:
1)用户到本系统创建ACME目录URL(参考https://tools.ietf.org/html/rfc8555#section-7.1.1)获得如https://acme.certcloud.cn/acme/directory/TjI2c2h6cGNfaDAyeUhBVTZfMWEzMWQ3ODg3ODgwMmMzYTI2NTU5MDZl地址,携带着与订单绑定的token,如TjI2c2h6cGNfaDAyeUhBVTZfMWEzMWQ3ODg3ODgwMmMzYTI2NTU5MDZl;
2)ACME客户端通过ACME目录URL获取到API列表;
3)ACME客户端通过调用newNonce与newAccount API完成账户的注册;
4)ACME客户端通过调用newNonce与newOrder API携带域名信息(如example.com)到本系统;
5)本系统通过AMCE客户端请求的ACME目录URL中的token获取到对应的策略,本系统判断是否允许继续;
6)本系统通过ACME客户端请求的ACME目录URL中的token获取到对应的订单;
7)订单可能会在ACME客户端A和ACME客户端B形成竞争关系,通过对订单加互斥锁来解决多个ACME客户端同时请求同一ACME目录URL带来的冲突问题,对后续同一请求采取挂起方式;
8)假设ACME客户端A获取到互斥锁,本系统将创建一个包含域名example.com待提交到CA的CA订单(没有CSR);
9)本系统返回携带订单ID和ACME Authorization数据(用于域名所有权验证),本系统在此处欺骗ACME客户端表示该域名example.com已通过验证,跳过由传统ACME客户端来自动配置完成ACME验证域名验证的过程(在后续收到CSR后通过验证模块自动完成域名验证);
10)ACME客户端生成私钥和CSR,通过调用newNonce与finalizeOrder提交订单ID与CSR到本系统;
11)本系统将待提交CA订单与CSR一并提交到CA获取到域名验证信息,调用验证模块进行域名验证;
12)验证模块收到需要验证的域名example.com和验证值,通过文件代理和DNSCNAME授权设置验证值,具体为:
当策略所绑定的域名验证方式为文件代理时,通过以下步骤完成域名所有权验证:
1)验证模块收到需要验证的域名和验证值,将域名作为Key,将验证值作为Value存储到KV存储器中;
2)证书颁发机构CA进行域名验证时,请求域名的HTTP(80端口)或HTTPS(443端口)地址,例如http://example.com/.well-known/pki-validation/fileauth.txt,通过用户预先设置的到ACME集中管理系统的文件代理的规则,将证书颁发机构CA的域名所有权验证反向代理到验证模块并携带域名example.com作为HTTP请求的Host头部字段;
3)验证模块通过获取反向代理的HTTP请求中的Host头部字段得到需要验证的域名example.com;
4)验证模块通过域名example.com在KV存储器获取到对应的验证值并通过HTTP文本返回给证书颁发机构CA;
当策略所绑定的域名验证方式为DNS CNAME授权时,通过以下步骤完成域名所有权验证:
1)验证模块收到需要验证的域名和验证值,将域名作为Key,将验证值作为Value存储到KV存储器中;
2)证书颁发机构CA进行域名验证时,请求域名的DNS TXT记录(例如:_dnsauth.example.com),该域名通过用户预先在其DNS解析服务配置的DNS CNAME记录指向验证模块提供的DNS解析服务(例如:NS为dcv.httpsauto.com)所提供的DNS CNAME代理域名(例如:example.com.dcv.httpsauto.com);
3)证书颁发机构CA所请求的域名验证请求将被代理验证模块提供的DNS解析服务;
4)DNS解析服务获取到证书颁发机构CA所请求的DNS CNAME代理域名example.com.dcv.httpsauto.com的DNS TXT解析请求,通过提取请求中的域名前缀的方式得到所请求的域名example.com;
5)验证模块通过域名在KV存储器获取到对应的验证值并通过DNS TXT记录方式返回给证书颁发机构CA。
13)本系统调用CA证书获取API,CA完成域名验证后签发并返回证书内容;
14)本系统按照ACME协议方式将证书内容返回给ACME客户端,完成证书签发过程;
15)本系统释放ACME客户端A的互斥锁,客户端B获取到互斥锁,客户端B将获取到客户端A创建的CA订单号;
16)客户端B重复上述9-10;
17)本系统将对已提交的CA订单与CSR一并提交到CA获取到域名验证信息,调用验证模块进行域名验证;
18)重复12-14完成证书签发过程。

Claims (8)

1.一种ACME集中管理系统,其特征在于,该系统分别连接ACME客户端以及多个证书颁发机构CA,包括ACME卸载模块以及分别与ACME卸载模块连接的统计模块、策略模块、验证模块和通知模块,所述的ACME卸载模块与ACME客户端通信,并且与多个证书颁发机构CA通信;
该系统的工作流程包括以下步骤:
1)ACME客户端向ACME卸载模块发起证书申请,ACME卸载模块进行数据解析卸载;
2)ACME卸载模块通过策略模块设定的策略选择证书颁发机构CA并提交订单到对应的证书颁发机构CA开始申请证书;
3)ACME卸载模块通过验证模块设置验证值并通过证书颁发机构CA对订单进行验证;
4)验证通过后ACME卸载模块通过通知模块签发申请状态通知,并通过统计模块统计数据;
应用ACME集中管理系统的负载均衡方法,包括以下步骤:
1)用户通过ACME集中管理系统创建ACME目录URL获得URL地址,并且携带与订单绑定的token;
2)ACME客户端通过ACME目录URL获取API列表;
3)ACME客户端通过调用newNonce函数与newAccount API完成账户的注册;
4)ACME客户端通过调用newNonce函数与newOrder API将域名信息带入ACME集中管理系统;
5)ACME集中管理系统通过AMCE客户端请求的ACME目录URL中的token获取到对应的策略;
6)ACME集中管理系统通过ACME客户端请求的ACME目录URL中的token获取到对应的订单信息;
7)ACME集中管理系统创建一个包含域名待提交到证书颁发机构CA且未带有CSR的CA订单;
8)ACME集中管理系统返回携带订单ID以及用以域名所有权验证的ACMEAuthorization数据,并在此步中欺骗ACME客户端表示ACME客户端的域名已通过验证,并发送已通过验证信息,由此跳过由传统ACME客户端来自动配置完成ACME验证域名验证的过程;
9)ACME客户端生成私钥和CSR,通过调用newNonce函数与finalizeOrder函数提交订单ID与CSR到ACME集中管理系统;
10)ACME集中管理系统将待提交的CA订单与CSR一并提交到证书颁发机构CA获取到域名验证信息,调用验证模块进行域名验证;
11)验证模块收到需要验证的域名和验证值,通过文件代理和DNS CNAME授权设置验证值;
12)ACME集中管理系统调用CA证书获取API,证书颁发机构CA完成域名验证后签发并返回证书内容;
13)ACME集中管理系统按照ACME协议方式将证书内容返回给ACME客户端,完成证书签发过程。
2.根据权利要求1所述的一种ACME集中管理系统的负载均衡方法,其特征在于,所述的步骤7)中,当订单在多个ACME客户端形成竞争关系时,通过对订单加互斥锁避免多个ACME客户端同时请求同一ACME目录URL带来的冲突,并且对后续的同一请求采取挂起的方式。
3.根据权利要求2所述的一种ACME集中管理系统的负载均衡方法,其特征在于,所述的步骤7)中,对于取到互斥锁的ACME客户端,ACME集中管理系统创建一个包含域名待提交到证书颁发机构CA且未带有CSR的CA订单。
4.根据权利要求2所述的一种ACME集中管理系统的负载均衡方法,其特征在于,在按照步骤1)-13)完成具有竞争关系的多个ACME客户端中的ACME客户端A的证书签发过程后,对于具有竞争关系的多个ACME客户端中的ACME客户端B,通过以下步骤完成证书签发过程:
14)ACME集中管理系统释放ACME客户端A的互斥锁后,ACME客户端B获取到互斥锁,ACME客户端B获取ACME客户端A创建的CA订单号;
15)ACME客户端B重复步骤8)-9);
16)ACME集中管理系统将对已提交的CA订单与CSR一并提交到证书颁发机构CA获取到域名验证信息,调用验证模块进行域名验证;
17)重复步骤11)-13)完成ACME客户端B的证书签发过程。
5.根据权利要求4所述的一种ACME集中管理系统的负载均衡方法,其特征在于,对于具有竞争关系的多个ACME客户端中的其余ACME客户端,按照步骤14)-17)依次完成证书签发过程。
6.根据权利要求2所述的一种ACME集中管理系统的负载均衡方法,其特征在于,所述的步骤11)中,通过ACME客户端请求的ACME目录URL中的token获取到的订单的策略所绑定的域名验证方式进行所有权验证。
7.根据权利要求6所述的一种ACME集中管理系统的负载均衡方法,其特征在于,当策略所绑定的域名验证方式为文件代理时,通过以下步骤完成域名所有权验证:
111)验证模块收到需要验证的域名和验证值,将域名作为Key,将验证值作为Value存储到KV存储器中;
112)证书颁发机构CA进行域名验证时,请求域名的HTTP或HTTPS地址,通过用户预先设置的到ACME集中管理系统的文件代理的规则,将证书颁发机构CA的域名所有权验证反向代理到验证模块并携带域名作为HTTP请求的Host头部字段;
113)验证模块通过获取反向代理的HTTP请求中的Host头部字段得到需要验证的域名;
114)验证模块通过域名在KV存储器获取到对应的验证值并通过HTTP文本返回给证书颁发机构CA。
8.根据权利要求6所述的一种ACME集中管理系统的负载均衡方法,其特征在于,当策略所绑定的域名验证方式为DNS CNAME授权时,通过以下步骤完成域名所有权验证:
1)验证模块收到需要验证的域名和验证值,将域名作为Key,将验证值作为Value存储到KV存储器中;
2)证书颁发机构CA进行域名验证时,请求域名的DNS TXT记录,该域名通过用户预先在其DNS解析服务配置的DNS CNAME记录指向验证模块提供的DNS解析服务所提供的DNSCNAME代理域名;
3)证书颁发机构CA所请求的域名验证请求将被代理验证模块提供的DNS解析服务;
4)DNS解析服务获取到证书颁发机构CA所请求的DNS CNAME代理域名的DNS TXT解析请求,通过提取请求中的域名前缀的方式得到所请求的域名;
5)验证模块通过域名在KV存储器获取到对应的验证值并通过DNS TXT记录方式返回给证书颁发机构CA。
CN202010718560.6A 2020-07-23 2020-07-23 一种acme集中管理系统及其负载均衡方法 Active CN111865992B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010718560.6A CN111865992B (zh) 2020-07-23 2020-07-23 一种acme集中管理系统及其负载均衡方法
US17/382,391 US11316703B2 (en) 2020-07-23 2021-07-22 Acme centralized management system and load balancing method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010718560.6A CN111865992B (zh) 2020-07-23 2020-07-23 一种acme集中管理系统及其负载均衡方法

Publications (2)

Publication Number Publication Date
CN111865992A CN111865992A (zh) 2020-10-30
CN111865992B true CN111865992B (zh) 2021-04-02

Family

ID=72949884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010718560.6A Active CN111865992B (zh) 2020-07-23 2020-07-23 一种acme集中管理系统及其负载均衡方法

Country Status (2)

Country Link
US (1) US11316703B2 (zh)
CN (1) CN111865992B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112702175A (zh) * 2020-12-28 2021-04-23 上海七牛信息技术有限公司 一键申请和部署目标服务器证书的方法和系统
CN113810501A (zh) * 2021-09-23 2021-12-17 福信富通科技股份有限公司 一种https证书管理的方法
CN114584530B (zh) * 2022-03-09 2024-04-16 浪潮云信息技术股份公司 对象存储自定义域名实现方法、电子设备及存储介质
CN115695039B (zh) * 2022-11-13 2023-08-18 济南三泽信息安全测评有限公司 网络安全漏洞检测系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1628277A (zh) * 2002-02-07 2005-06-15 甲骨文国际公司 用于认证由认证层级发放的数字证书的方法和系统
CN105323062A (zh) * 2014-06-03 2016-02-10 北京收付宝科技有限公司 移动终端数字证书电子签名方法
CN107302544A (zh) * 2017-08-15 2017-10-27 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN107612697A (zh) * 2017-10-20 2018-01-19 阿里巴巴集团控股有限公司 数字证书申请方法和装置
CN107771320A (zh) * 2015-05-08 2018-03-06 思杰系统有限公司 用于改善安全套接字层(ssl)通信安全性的系统和方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8285816B2 (en) * 2004-06-25 2012-10-09 Go Daddy Operating Company, LLC Methods of issuing a certificate for a domain name
EP2359526B1 (en) * 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
US8925055B2 (en) * 2011-12-07 2014-12-30 Telefonaktiebolaget Lm Ericsson (Publ) Device using secure processing zone to establish trust for digital rights management
CN105635082A (zh) * 2014-11-12 2016-06-01 北大方正集团有限公司 动态授权方法和系统以及授权中心、授权客户端
CN106789897B (zh) * 2016-11-15 2019-08-06 沃通电子认证服务有限公司 用于移动终端应用程序的数字证书验证方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1628277A (zh) * 2002-02-07 2005-06-15 甲骨文国际公司 用于认证由认证层级发放的数字证书的方法和系统
CN105323062A (zh) * 2014-06-03 2016-02-10 北京收付宝科技有限公司 移动终端数字证书电子签名方法
CN107771320A (zh) * 2015-05-08 2018-03-06 思杰系统有限公司 用于改善安全套接字层(ssl)通信安全性的系统和方法
CN107302544A (zh) * 2017-08-15 2017-10-27 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN107612697A (zh) * 2017-10-20 2018-01-19 阿里巴巴集团控股有限公司 数字证书申请方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于Let"s Encrypt 的中小企业网站保护的实现;李超;《现代信息科技》;20180725;159-161 *
说明;amcesh-official;《github》;20200618 *

Also Published As

Publication number Publication date
CN111865992A (zh) 2020-10-30
US20220029830A1 (en) 2022-01-27
US11316703B2 (en) 2022-04-26

Similar Documents

Publication Publication Date Title
CN111865992B (zh) 一种acme集中管理系统及其负载均衡方法
US9473419B2 (en) Multi-tenant cloud storage system
JP5882941B2 (ja) 限られたリソースの分配を容易にするためのシステムと方法
US8369326B2 (en) Multi-services application gateway
CN104350719B (zh) 联合数据服务装置和方法
US20090025010A1 (en) Systems and methods for providing centralized subscriber session state information
US20200162462A1 (en) Validating configuration changes on a network device
US20060047951A1 (en) Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate
EP3382988B1 (en) Method for self-provisioning of cable modems and multimedia terminal adapters
US7853705B2 (en) On demand session provisioning of IP flows
US20080043719A1 (en) Method and apparatus for generating configuration information for a communication system
JP4728937B2 (ja) ソフトウェア更新システム、端末装置、ソフトウェア更新方法及びプログラム
WO2010145312A1 (zh) 用户信息的处理方法、服务器及终端
CN102308565A (zh) 互联网语音协议设备负载分析
Cisco Cisco BBSM 5.1 Release Notes
EP3790231B1 (en) Controlling network access of customer-premises equipment
US9213533B1 (en) Dynamically provisioning digital voice trunks
EP2761813A2 (en) System and method for cloud-based implementation of control of focused overload of network element (cofo-ne)
JP4097011B2 (ja) ネットワーク画像形成システム
JP5734416B2 (ja) ネットワークトラフィック分析方法、ネットワークトラフィック分析装置、コンピュータプログラム
CN101453396A (zh) 多服务提供商设备管理的方法和系统
CN115987527B (zh) 证书管理方法、网络设备的账号管理系统及电子设备
EP3899760B1 (en) Apparatus and method for license activation
US9185464B2 (en) Service alert messages for customer premises communication devices
US20200374315A1 (en) Policy management system to provide authorization information via distributed data store

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Jian Yong Hou

Inventor after: Chen Qijing

Inventor after: Cheng Jin

Inventor before: Jian Yong Hou

Inventor before: Chen Qijing

GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Acme centralized management system and load balancing method thereof

Effective date of registration: 20210923

Granted publication date: 20210402

Pledgee: The Bank of Shanghai branch Caohejing Limited by Share Ltd.

Pledgor: YASTAR INFORMATION TECHNOLOGY (SHANGHAI) Co.,Ltd.

Registration number: Y2021310000075

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20220712

Granted publication date: 20210402

Pledgee: The Bank of Shanghai branch Caohejing Limited by Share Ltd.

Pledgor: YASTAR INFORMATION TECHNOLOGY (SHANGHAI) Co.,Ltd.

Registration number: Y2021310000075

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: An ACME centralized management system and its load balancing method

Effective date of registration: 20230309

Granted publication date: 20210402

Pledgee: The Bank of Shanghai branch Caohejing Limited by Share Ltd.

Pledgor: YASTAR INFORMATION TECHNOLOGY (SHANGHAI) Co.,Ltd.

Registration number: Y2023310000056