CN113326503A - 一种证书管理方法及计算设备 - Google Patents

一种证书管理方法及计算设备 Download PDF

Info

Publication number
CN113326503A
CN113326503A CN202110624126.6A CN202110624126A CN113326503A CN 113326503 A CN113326503 A CN 113326503A CN 202110624126 A CN202110624126 A CN 202110624126A CN 113326503 A CN113326503 A CN 113326503A
Authority
CN
China
Prior art keywords
certificate
target
outsourcing
service
expiration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110624126.6A
Other languages
English (en)
Inventor
向非能
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WeBank Co Ltd
Original Assignee
WeBank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WeBank Co Ltd filed Critical WeBank Co Ltd
Priority to CN202110624126.6A priority Critical patent/CN113326503A/zh
Publication of CN113326503A publication Critical patent/CN113326503A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例提供了一种证书管理方法及计算设备,该证书管理方法包括:确定证书管理系统中目标证书的过期时间与当前时间的时间差值;将时间差值小于预设差值的目标证书确定为待处理的目标证书;基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。本实施例在目标证书对应的时间差值小于预设差值时,即可准确、高效地确定出该目标证书是快要过期的证书,减少错判、漏判快要过期的证书的情况发生;响应目标指令,更新快要过期的证书,减少因证书过期导致的业务无法正常进行的情况发生。

Description

一种证书管理方法及计算设备
技术领域
本申请实施例涉及金融科技(Fintech)领域,尤其涉及一种证书管理方法及计算设备。
背景技术
随着计算机技术的发展,越来越多的技术应用在金融领域,传统金融业正在逐步向金融科技转变,但由于金融行业的安全性、实时性要求,也对技术提出的更高的要求。在金融领域中,通过数字证书进行身份认证。每个数字证书都有过期时间,如果数字证书过期(当前时间超过了数字证书的过期时间),就不能通过该数字证书进行身份认证。
相关技术中,需要运维人员确定快要过期的数字证书,并进行数字证书更新,如对于外购数字证书,证书提供方的运维人员确定某一数字证书快要过期后,通知使用该数字证书的使用方,使用方请求新的数字证书。然而这样的处理方式,无法准确确定出哪些证书快要过期,可能出现错判、漏判快要过期的数字证书,快要过期的数字证书没有被及时更新,使用过期的数字证书的业务无法正常进行。
综上,目前亟需一种证书管理方法,用以准确确定出快要过期的证书,减少因证书过期导致的业务无法正常进行的情况发生。
发明内容
本申请实施例提供了一种证书管理方法及计算设备,用以准确确定出快要过期的证书,减少因证书过期导致的业务无法正常进行的情况发生。
第一方面,本申请实施例提供了一种证书管理方法,应用于证书管理系统,该方法包括:
确定所述系统中目标证书的过期时间与当前时间的时间差值;
将时间差值小于预设差值的目标证书确定为待处理的目标证书;
基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
上述技术方案中,由于目标证书的过期时间与当前时间的时间差值的大小,反映了目标证书是否快要过期,如果目标证书对应的时间差值小于预设差值(时间差值较小),说明当前时间已经接近该目标证书的过期时间,该目标证书是快要过期的目标证书(待处理的目标证书),因此,在目标证书对应的时间差值小于预设差值时,即可准确、高效地确定出是快要过期的证书,减少错判、漏判快要过期的证书的情况发生;在确定出快要过期的目标证书(待处理的目标证书)后,基于这些证书的对象信息,向对应的目标对象发送到期提示,目标对象根据该到期提示获知这些证书快要过期,触发目标指令;系统根据上述目标指令,就能更新快要过期的证书,减少因证书过期导致的业务无法正常进行的情况发生。
可选地,若所述目标证书包括生产类的自签证书,则所述对象信息包括表征使用生产类的自签证书的业务的第三业务信息,所述第三业务信息是基于生成生产类的自签证书的请求确定的,所述目标对象包括待处理的生产类的自签证书的第三业务信息对应的第二业务端,所述目标指令包括携带更新后的过期时间的替换指令;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书,包括:
若在发送所述到期提示的第三预设时长内,收到所述替换指令,则基于所述更新后的过期时间生成新的自签证书,并将所述待处理的生产类的自签证书替换为所述新的自签证书。
上述技术方案中,针对生产类的自签证书,如果系统在向第二业务端(使用待处理的生产类的自签证书的业务对应的业务端)发送到期提示之后的较长时间,还没有收到该第二业务端发送的替换指令,说明第二业务端可能没有收到上述到期提示,或者对应业务的负责人员忘记对到期提示进行处理,因此系统在发送到期提示的第三预设时长内,收到第二业务端基于上述到期提示发送的携带更新后的过期时间的替换指令,基于更新后的过期时间生成新的自签证书,并将待处理的生产类的自签证书替换为该新的自签证书,这样对应的业务后续可以继续使用新的自签证书,减少因生产类的自签证书过期,导致的业务无法正常进行的情况发生。
可选地,所述系统中有多个根证书,在确定所述系统中目标证书的过期时间与当前时间的时间差值之前,还包括:
响应生成自签证书的第一指令,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书;
从生成的自签证书中,选择生产类的自签证书作为所述目标证书。
上述技术方案中,自签证书是系统在收到生成自签证书的第一指令后,基于该第一指令对应的根证书以及过期时间生成的,系统有多个根证书,因此可以生成不同类型的自签证书,便于系统对自签证书进行分类管理,由于非生产类自签证书(如测试类自签证书),不需要进行过期处理,因此从生成的自签证书中,选择生产类的自签证书作为目标证书。
可选地,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书,包括:
在确定所述目标过期时间没有超过所述目标根证书的过期时间后,生成所述第一指令对应的域名系统(Domain Name System,DNS)文件;
基于自签证书的请求信息、所述目标根证书、所述目标过期时间以及所述DNS文件,生成对应的自签证书;其中,所述自签证书的请求信息是基于第一RSA(一种非对称加解密算法)私钥以及所述第一指令中自签证书的标识生成的,所述第一RSA私钥是基于所述第一指令中表征长度的信息得到的对应长度的RSA私钥。
上述技术方案中,通过确定目标过期时间没有超过目标根证书的过期时间,保证了生成的自签证书的过期时间不会超过该目标根证书的过期时间,进而保证了该自签证书的正常使用。
可选地,若所述第一指令包含通配符,则生成的所述DNS文件包含所述通配符以及基于所述通配符确定的二级域名;和/或
若所述第一指令包含多个网络互连协议(Internet Protocol,IP),则所述DNS文件包含基于各IP分别生成的信息。
上述技术方案中,如果生成自签证书的第一指令包含通配符,上述DNS文件包含通配符以及通配符对应的二级域名,从而使业务基于生成的自签证书访问该二级域名;如果生成自签证书的第一指令包含多个IP,上述DNS文件包含基于各IP分别生成的信息,从而使业务基于生成的自签证书访问多个IP,满足了不同应用场景的需求。
可选地,系统中的根证书是通过以下方式生成的:
响应生成根证书的第二指令,基于所述第二指令中表征长度的信息,得到对应长度的第二RSA私钥;
根据所述第二RSA私钥以及所述第二指令中根证书的标识,生成根证书的请求信息;
基于所述第二RSA私钥、所述根证书的请求信息以及所述第二指令对应的过期时间,生成对应的根证书。
上述技术方案中,通过生成特定长度的第二RSA私钥,进而基于该第二RSA私钥、根证书的请求信息以及对应的过期时间,方便、快捷地生成根证书。
可选地,若所述目标证书包括外购证书,则所述目标对象包括用于管理外购证书的管理端,所述目标指令包括携带更新后的外购证书的替换指令;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书,包括:
若在发送所述到期提示的第一预设时长内,收到所述替换指令,则基于所述替换指令,将待处理的外购证书替换为所述更新后的外购证书;
基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书;其中,所述业务信息为使用对应待处理的外购证书的业务的信息。
上述技术方案中,针对外购证书,如果系统在向管理待处理的外购证书的管理端发送到期提示之后的较长时间,还没有收到该管理端发送的替换指令,说明管理端可能没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理,因此系统在发送到期提示的第一预设时长,收到管理端基于上述到期提示发送的携带更新后的外购证书的替换指令,将待处理的外购证书替换为该更新后的外购证书;由于该待处理的外购证书被一个或者多个业务使用过,通过基于上述待处理的外购证书的业务信息,通知对应的第一业务端(使用过该待处理的外购证书的业务对应的业务端)更换待处理的外购证书,这样这些业务后续可以继续使用更新后的外购证书,减少因外购证书过期导致的业务无法正常进行的情况发生。
可选地,所述方法还包括:
若在发送所述到期提示的第一预设时长内,没有收到所述替换指令,则再次向所述管理端发送到期提示。
上述技术方案中,针对外购证书,如果系统在向管理待处理的外购证书的管理端发送到期提示之后的较长时间,还没有收到该管理端发送的替换指令,说明管理端可能没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理,因此系统在发送到期提示的第一预设时长,还没有收到管理端基于上述到期提示发送的携带更新后的外购证书的替换指令,需要再次向管理端发送到期提示,减少因管理端没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理等,导致不能及时更新待处理的目标证书的情况发生。
可选地,任一待处理的外购证书对应一个或者多个业务,通知对应的第一业务端更换所述待处理的外购证书之后,还包括:
确定在通知对应的第一业务端更换所述待处理的外购证书的第二预设时长内,是否收到各业务的第一业务端发送的更换证书的请求;
针对收到请求对应的业务,将所述更新后的外购证书发送给所述业务对应的第一业务端;和/或
针对没有收到请求对应的业务,再次通知所述业务对应的第一业务端更换所述待处理的外购证书。
上述技术方案中,有一个或多个业务使用过某一待处理的外购证书,每个业务对应一个或多个第一业务端。如果系统在通知对应的第一业务端更换待处理的外购证书之后的较长时间,还没有收到某业务的第一业务端的更换证书的请求,说明该业务的第一业务端可能没有收到上述通知,或者该业务的负责人员忘记对该通知进行处理,因此系统在通知后的第二预设时长内,如果收到部分或全部业务的第一业务端的更换证书的请求,将更新后的外购证书发送给这些业务的第一业务端,再次通知其余业务的第一业务端,减少因第一业务端没有收到上述通知,或者业务的负责人员忘记对该通知进行处理等,导致某些业务没有更新外购证书的情况发生。
第二方面,本申请实施例还提供了一种证书管理系统,包括:
确定单元,用于确定所述系统中目标证书的过期时间与当前时间的时间差值;
确定单元,还用于将时间差值小于预设差值的目标证书确定为待处理的目标证书;
提示单元,用于基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;
更新单元,用于响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
第三方面,本申请实施例提供一种计算设备,包括至少一个处理器以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述第一方面任一所述的证书管理方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行上述第一方面任一所述的证书管理方法。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的第一种证书管理方法的流程示意图;
图3为本申请实施例提供的第二种证书管理方法的流程示意图;
图4为本申请实施例提供的第三种证书管理方法的流程示意图;
图5为本申请实施例提供的第四种证书管理方法的流程示意图;
图6为本申请实施例提供的第五种证书管理方法的流程示意图;
图7为本申请实施例提供的第六种证书管理方法的流程示意图;
图8为本申请实施例提供的一种证书管理系统的结构示意图;
图9为本申请实施例提供的一种计算设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“连接”应做广义理解,例如,可以是直接相连,也可以通过中间媒介间接相连,可以是两个器件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。
术语“数字证书”是指用于进行身份认证的证书,如安全传输层协(SecureSockets Layer,SSL)证书,在一些实施例中直接用“证书”指代数字证书。
数字证书过期(当前时间超过了数字证书的过期时间)后,就不能通过该数字证书进行身份认证。一些实施例中,需要运维人员确定快要过期的数字证书,并进行数字证书更新,如对于外购数字证书,证书提供方的运维人员确定某一数字证书快要过期后,通知使用该数字证书的使用方,使用方请求新的数字证书。
然而这样的处理方式,无法准确确定出哪些证书快要过期,可能出现因运维人员看错过期时间,而错判、漏判快要过期的数字证书,快要过期的数字证书没有被及时更新,使用过期的数字证书的业务就无法正常进行。
鉴于此,本申请实施例提出一种证书管理方法及计算设备,该方法包括:确定所述系统中目标证书的过期时间与当前时间的时间差值;将时间差值小于预设差值的目标证书确定为待处理的目标证书;基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
上述技术方案中,由于目标证书的过期时间与当前时间的时间差值的大小,反映了目标证书是否快要过期,如果目标证书对应的时间差值小于预设差值(时间差值较小),说明当前时间已经接近该目标证书的过期时间,该目标证书是快要过期的目标证书(待处理的目标证书),因此,在目标证书对应的时间差值小于预设差值时,即可准确、高效地确定出是快要过期的证书,减少错判、漏判快要过期的证书的情况发生;在确定出快要过期的目标证书(待处理的目标证书)后,基于这些证书的对象信息,向对应的目标对象发送到期提示,目标对象根据该到期提示获知这些证书快要过期,触发目标指令;系统根据上述目标指令,就能更新快要过期的证书,减少因证书过期导致的业务无法正常进行的情况发生。
参阅图1所示,为本申请实施例提供的一种应用场景,该场景包括证书管理系统110、多个业务端(图1以业务端121、业务端122、业务端123以及业务端124为例进行说明,实际应用中业务端的数量可以更多或者更少),管理外购证书的管理端(图1以管理端131以及管理端132为例进行说明,实际应用中管理端的数量可以更多或者更少)。
证书管理系统110,可以确定目标证书的过期时间与当前时间的时间差值;将时间差值小于预设差值的目标证书确定为待处理的目标证书;基于所述待处理的目标证书的对象信息,向对应的目标对象(上述业务端或者管理端)发送到期提示;响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
上述应用场景只是示例性说明,本申请实施例并限于上述应用场景。
下面将结合附图及具体实施例,对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
本申请实施例提供第一种证书管理方法,可以应用于上述证书管理系统,如图2所示,包括以下步骤:
步骤S201:确定所述系统中目标证书的过期时间与当前时间的时间差值。
本实施例,证书管理系统中有多个证书,包括外部的证书颁发机构提供的外购证书,以及内部签发的自签证书,如银行内部签发的内网使用的证书、接口使用的证书、基于网络互连协议(Internet Protocol,IP)的证书或者双向超文本传输安全协议(Hyper TextTransfer Protocol over Secure Socket Layer,HTTPS)的客户端证书等。
实施中,上述目标证书可以包括外购证书以及生产类的自签证书中的至少一种,由于非生产类的自签证书(如测试类的自签证书),不需要进行过期处理,上述目标证书不包括测试类的自签证书。
各目标证书都有对应的生效时间(生效时间表征目标证书有效的起始时间,一些实施例中,生效时间为签发时间)以及过期时间(过期时间表征目标证书有效的终止时间),目标证书的生效时间到过期时间之间的时长为该目标证书的有效期。当前时间没有超过目标证书的过期时间时,当前时间越接近目标证书的过期时间,就代表该目标证书越快要过期,因此目标证书的过期时间与当前时间的时间差值的大小,反映了目标证书是否快要过期。基于此,本实施例需要确定各目标证书的过期时间与当前时间的时间差值。
步骤S202:将时间差值小于预设差值的目标证书确定为待处理的目标证书。
如上所述,当前时间没有超过目标证书的过期时间时,当前时间越接近目标证书的过期时间(目标证书对应的时间差值越小),就代表该目标证书越快要过期。因此,通过在系统中设定预设差值,将目标证书对应的时间差值与预设差值比对,目标证书对应的时间差值小于预设差值(时间差值较小),说明当前时间已经接近该目标证书的过期时间,该目标证书是快要过期的目标证书(待处理的目标证书)。反之,目标证书对应的时间差值不小于预设差值,该目标证书就不是待处理的目标证书。
上述预设差值可以根据实际应用场景进行设定,例如预设差值为60天。
步骤S203:基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示。
本实施例,目标对象是需要处理快要过期的目标证书的对象,对象信息是目标对象的相关信息,如目标对象的标识、表征目标地址的信息等,不同场景中对象信息不同。
步骤S204:响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
如上所述,目标对象是需要处理快要过期的目标证书的对象,系统根据待处理的目标证书的对象信息,向对应的目标对象发送到期提示,目标对象基于该到期提示,发送指示系统更新待处理的目标证书的目标指令,进而系统响应该目标指令,更新待处理的目标证书。
上述技术方案中,由于目标证书的过期时间与当前时间的时间差值的大小,反映了目标证书是否快要过期,如果目标证书对应的时间差值小于预设差值(时间差值较小),说明当前时间已经接近该目标证书的过期时间,该目标证书是快要过期的目标证书(待处理的目标证书),因此,在目标证书对应的时间差值小于预设差值时,即可准确、高效地确定出是快要过期的证书,减少错判、漏判快要过期的证书的情况发生;在确定出快要过期的目标证书(待处理的目标证书)后,基于这些证书的对象信息,向对应的目标对象发送到期提示,目标对象根据该到期提示获知这些证书快要过期,触发目标指令;系统根据上述目标指令,就能更新快要过期的证书,减少因证书过期导致的业务无法正常进行的情况发生。
针对外购证书,本申请实施例提供了图3所示的第二种证书管理方法示意流程图,具体包括以下步骤:
步骤S301:确定所述系统中外购证书的过期时间与当前时间的时间差值。
步骤S302:将时间差值小于预设差值的外购证书确定为待处理的外购证书。
该步骤S301-S302的具体实现方式可参照上述步骤S201-S202,此处不再赘述。
步骤S303:基于所述待处理的外购证书的对象信息,向对应的目标对象发送到期提示。
针对外购证书,目标对象包括用于管理外购证书的管理端。
本实施例,外购证书是外部的证书颁发机构提供的,每个外购证书对应有一个或者多个管理人员,各管理人员也可同时管理多个外购证书。这里的管理人员可以是负责从外部的证书颁发机构采购证书的人员。
本实施例对基于待处理的外购证书的对象信息,向对应的目标对象发送到期提示的具体实现方式不做限定,例如:
1)外购证书A对应一个管理人员,外购证书A的对象信息包括该管理人员的用户名,系统根据该管理人员的用户名以及预设的邮箱后缀,确定该管理人员的邮箱地址,向该邮箱地址发送到期提示;或者外购证书A的对象信息为该管理人员的邮箱地址,直接向该邮箱地址发送到期提示。
2)外购证书A对应管理人员1、管理人员2以及管理人员3,外购证书A的对象信息包括管理人员1的用户名、管理人员2的用户名以及管理人员3的用户名,系统根据这三个用户名以及预设的邮箱后缀,确定这三个管理人员的邮箱地址,分别向这三个邮箱地址发送到期提示;或者外购证书A的对象信息包括管理人员1的邮箱地址、管理人员2的邮箱地址以及管理人员3的邮箱地址,直接向这三个邮箱地址发送到期提示。
上述发送到期提示的方式只是示例性说明,本申请并不以此为限。
示例性的,针对任一外购证书,到期提示包含该外购证书标识、对应的根证书标识、证书颁发机构标识等信息,以便外购证书的管理人员根据到期提示的这些信息,从对应的证书颁发机构进行采购,得到更新后的外购证书。该到期提示包含的内容只是示例性说明,可以根据实际应用场景选择到期提示包含的具体内容。
步骤S304:若在发送所述到期提示的第一预设时长内,收到管理端发送的携带更新后的外购证书的替换指令,则基于所述替换指令,将所述待处理的外购证书替换为所述更新后的外购证书。
示例性的,针对外购证书对应有多个管理人员的情况,任一管理人员均可触发携带更新后的外购证书的替换指令,系统将待处理的外购证书替换为更新后的外购证书。
本实施例,如果系统在向管理端发送到期提示之后的较长时间,还没有收到该管理端发送的替换指令,说明管理端可能没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理,因此系统在发送到期提示的第一预设时长,收到管理端基于上述到期提示发送的携带更新后的外购证书的替换指令,将待处理的外购证书替换为该更新后的外购证书。
步骤S305:基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书。
其中,所述业务信息为使用对应待处理的外购证书的业务的信息。
各待处理的外购证书可能被一个或者多个业务使用过,通过基于上述待处理的外购证书的业务信息,通知对应的第一业务端(使用过该待处理的外购证书的业务对应的业务端)更换待处理的外购证书,这样这些业务后续可以继续使用更新后的外购证书,减少因外购证书过期导致的业务无法正常进行的情况发生。
可选地,该方法还包括:
步骤S306:若在发送所述到期提示的第一预设时长内,没有收到所述替换指令,则再次向所述管理端发送到期提示。
如上所述,如果系统在向管理端发送到期提示之后的较长时间,还没有收到该管理端发送的替换指令,说明管理端可能没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理,因此系统在发送到期提示的第一预设时长,还没有收到管理端基于上述到期提示发送的携带更新后的外购证书的替换指令,需要再次向管理端发送到期提示。
上述第一预设时长可以根据实际应用场景进行设定,如第一预设时长为7天。
上述技术方案中,针对外购证书,如果系统在向管理待处理的外购证书的管理端发送到期提示之后的较长时间,还没有收到该管理端发送的替换指令,说明管理端可能没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理,因此系统在发送到期提示的第一预设时长,收到管理端基于上述到期提示发送的携带更新后的外购证书的替换指令,将待处理的外购证书替换为该更新后的外购证书;系统在发送到期提示的第一预设时长,还没有收到替换指令,需要再次向管理端发送到期提示,减少因管理端没有收到上述到期提示,或者外购证书的管理人员忘记对到期提示进行处理等,导致不能及时更新待处理的目标证书的情况发生。由于该待处理的外购证书被一个或者多个业务使用过,通过基于上述待处理的外购证书的业务信息,通知对应的第一业务端(使用过该待处理的外购证书的业务对应的业务端)更换待处理的外购证书,这样这些业务后续可以继续使用更新后的外购证书,减少因外购证书过期导致的业务无法正常进行的情况发生。
针对外购证书,本申请实施例提供了图4所示的第三种证书管理方法示意流程图,具体包括以下步骤:
步骤S401:获取所述外购证书以及对应的证书信息,所述证书信息包含所述对象信息以及所述过期时间。
如上所述,外购证书是外部的证书颁发机构提供的,因此,系统需要获取外购证书,以便提供给需要使用外购证书的业务。另外,为了便于后续处理,系统还需要获取外购证书对应的证书信息。
本实施例对证书信息包含的内容不做具体限定,如对象信息、过期时间以及第一业务信息,另外还可包括上述生效时间、外购证书标识、对应的根证书标识、证书颁发机构标识等。
系统根据证书信息中的对象信息,即可确定管理该外购证书的相关信息(如管理人员的标识、表征目标地址的信息等);根据证书信息中的过期时间,即可确定出该外购证书的过期情况;根据证书信息中的第一业务信息,即可确定系统在获取外购证书之前,都有哪些业务需要使用该外购证书。
本实施例对系统获取外购证书以及对应的证书信息的具体实现方式不做限定,示例性的:
系统的运维人员根据外购证书的特点,确定是否将外购证书压缩(如多个证书对应的证书信息相同,可将这多个证书压缩;或者证书包含说明文件,可将证书与说明文件压缩);
针对压缩的外购证书(如ZIP格式),系统运维人员需要填写完整的证书信息,填写完成后将证书信息以及外购证书一起上传系统;系统对压缩的外购证书进行编码,如BASE64编码(一种基于64位可打印字符表示二进制数据的编码方式),将编码后的压缩的外购证书以及对应的证书信息进行存储。
针对没有压缩的外购证书(如PFX格式,即公钥加密12号标准定义的文件格式),系统可以读取这类外购证书的内容(如上述过期时间、生效时间、外购证书标识、对应的根证书标识、证书颁发机构标识等),因此系统运维人员只需要填写部分证书信息(如对象信息、第一业务信息等),填写完成后将证书信息以及外购证书一起上传系统;系统对外购证书进行编码(如BASE64编码),将编码后的外购证书以及对应的证书信息进行存储。
上述获取外购证书以及对应的证书信息的方式只是示例性说明,系统可采用其他方式获取外购证书以及对应的证书信息。
步骤S402:确定所述系统中外购证书的过期时间与当前时间的时间差值。
步骤S403:将时间差值小于预设差值的外购证书确定为待处理的外购证书。
步骤S404:基于所述待处理的外购证书的对象信息,向对应的目标对象发送到期提示。
针对外购证书,目标对象包括用于管理外购证书的管理端。
步骤S405:若在发送所述到期提示的第一预设时长内,收到管理端发送的携带更新后的外购证书的替换指令,则基于所述替换指令,将所述待处理的外购证书替换为所述更新后的外购证书。
步骤S406:基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书。
该步骤S402-S406的具体实现方式可参照上述步骤S301-S305,此处不再赘述。
上述业务信息表征使用对应待处理的外购证书的业务的信息。本实施例,所述外购证书的业务信息包括所述证书信息中的第一业务信息,以及响应针对所述外购证书的使用请求,确定的第二业务信息。
本实施例对确定第二业务信息的具体实现方式不做限定,例如:
某一业务需要使用外购证书,该业务的负责人员向系统输入第二业务信息(第二业务信息可以包括外购证书的标识、业务标识、业务对应的域名信息以及该业务的负责人员的相关信息中的部分或者全部)后,触发携带上述第二业务信息的使用请求;
系统收到上述使用请求后,将该使用请求发送给审批端,以使上述业务的领导以及系统管理员进行审批;审批端指示审批通过后,系统确定请求携带的外购证书的第二业务信息。
上述确定第二业务信息的方式只是示例性说明,系统可采用其他方式确定第二业务信息。
上述技术方案中,外购证书是由外部的证书颁发机构提供的,因此,系统需要获取外购证书,以便提供给需要使用外购证书的业务。为了便于后续处理,系统还需要获取外购证书对应的证书信息,系统根据证书信息中的对象信息,即可确定管理该外购证书的相关信息(如管理人员的标识、表征目标地址的信息等);根据证书信息中的过期时间,即可确定出该外购证书的过期情况;根据证书信息中的第一业务信息,即可确定系统在获取外购证书之前,都有哪些业务需要使用该外购证书。另外,系统在获取外购证书之后,响应针对外购证书的使用请求,可向对应的业务提供该外购证书,这些业务也需要使用该外购证书,因此,外购证书的业务信息包括上述第一业务信息,以及响应针对所述外购证书的使用请求确定的第二业务信息,根据外购证书的业务信息即可确定出所有需要使用该外购证书的业务。
针对外购证书,本申请实施例提供了图5所示的第四种证书管理方法示意流程图,具体包括以下步骤:
步骤S501:确定所述系统中外购证书的过期时间与当前时间的时间差值。
步骤S502:将时间差值小于预设差值的外购证书确定为待处理的外购证书。
步骤S503:基于所述待处理的外购证书的对象信息,向对应的目标对象发送到期提示。
针对外购证书,目标对象包括用于管理外购证书的管理端。
步骤S504:若在发送所述到期提示的第一预设时长内,收到管理端发送的携带更新后的外购证书的替换指令,则基于所述替换指令,将所述待处理的外购证书替换为所述更新后的外购证书。
步骤S505:基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书。
其中,所述业务信息为使用对应待处理的外购证书的业务的信息。
该步骤S501-S505的具体实现方式可参照上述步骤S301-S305,此处不再赘述。
步骤S506:确定在通知对应的第一业务端更换所述待处理的外购证书的第二预设时长内,是否收到各业务的第一业务端发送的更换证书的请求。
任一待处理的外购证书,对应一个或者多个业务。
步骤S507:针对收到请求对应的业务,将所述更新后的外购证书发送给所述业务对应的第一业务端;和/或针对没有收到请求对应的业务,再次通知所述业务对应的第一业务端更换所述待处理的外购证书。
示例性的,有一个或多个业务使用过某一待处理的外购证书,各业务可能有一个或多个负责人员,针对有多个负责人员的业务,任一负责人员均可触发更换证书的请求。如果系统在通知该业务对应的第一业务端更换待处理的外购证书之后的较长时间,还没有收到该业务的第一业务端的更换证书的请求,说明该业务的第一业务端可能没有收到上述通知,或者该业务的负责人员忘记对该通知进行处理。
基于此,系统在通知后的第二预设时长内,如果收到部分或全部业务的第一业务端的更换证书的请求,将更新后的外购证书发送给这些业务的第一业务端,并再次通知其余业务的第一业务端。
上述第二预设时长可以根据实际应用场景进行设定,如第二预设时长为7天。
上述技术方案中,有一个或多个业务使用过某一待处理的外购证书,如果系统在通知对应的第一业务端更换待处理的外购证书之后的较长时间,还没有收到某业务的第一业务端的更换证书的请求,说明该业务的第一业务端可能没有收到上述通知,或者该业务的负责人员忘记对该通知进行处理,因此系统在通知后的第二预设时长内,如果收到部分或全部业务的第一业务端的更换证书的请求,将更新后的外购证书发送给这些业务的第一业务端,再次通知其余业务的第一业务端,减少因第一业务端没有收到上述通知,或者业务的负责人员忘记对该通知进行处理等,导致某些业务没有更新外购证书的情况发生。
针对生产类的自签证书,本申请实施例提供了图6所示的第五种证书管理方法示意流程图,具体包括以下步骤:
步骤S601:确定所述系统中生产类的自签证书的过期时间与当前时间的时间差值。
步骤S602:将时间差值小于预设差值的生产类的自签证书确定为待处理的生产类的自签证书。
步骤S603:基于所述待处理的生产类的自签证书的对象信息,向对应的目标对象发送到期提示。
针对生产类的自签证书,所述对象信息包括表征使用生产类的自签证书的业务的第三业务信息,所述第三业务信息是基于生成生产类的自签证书的请求确定的,所述目标对象包括待处理的生产类的自签证书的第三业务信息对应的第二业务端。
本实施例,上述生产类的自签证书是系统生成的,基于此,系统需要向对应的第二业务端发送到期提示,以便业务的负责人员根据到期提示请求新的自签证书。
示例性的,针对任一生产类的自签证书,到期提示包含该生产类的自签证书标识、对应的根证书标识等信息,以便业务的负责人员根据到期提示的这些信息,生成目标指令。该到期提示包含的内容只是示例性说明,可以根据实际应用场景选择到期提示包含的内容。
由于不需要更新下线的业务使用的自签证书,可选地,在向对应的目标对象发送到期提示之前,先基于待处理的生产类的自签证书的第三业务信息,确定对应的业务在线。
步骤S604:若在发送所述到期提示的第三预设时长内,收到第二业务端发送的携带更新后的过期时间的替换指令,则基于所述更新后的过期时间生成新的自签证书,并将所述待处理的生产类的自签证书替换为所述新的自签证书。
示例性的,针对生产类的自签证书对应的业务有多个负责人员的情况,任一负责人员均可触发携带更新后的过期时间的替换指令,系统基于更新后的过期时间生成新的自签证书,并将待处理的生产类的自签证书替换为新的自签证书。
本实施例,如果系统在向上述第二业务端发送到期提示之后的较长时间,还没有收到该第二业务端发送的替换指令,说明第二业务端可能没有收到上述到期提示,或者对应业务的负责人员忘记对到期提示进行处理。因此系统在发送到期提示的第三预设时长内,收到第二业务端发送的替换指令,基于更新后的过期时间生成新的自签证书,并将待处理的生产类的自签证书替换为该新的自签证书。
可选地,该方法还包括:
步骤S605:若在发送所述到期提示的第三预设时长内,没有收到所述替换指令,则再次向所述第二业务端发送到期提示。
如上所述,如果系统在向上述第二业务端发送到期提示之后的较长时间,还没有收到该第二业务端发送的替换指令,说明第二业务端可能没有收到上述到期提示,或者对应业务的负责人员忘记对到期提示进行处理。因此,系统在发送到期提示的第三预设时长内,还没有收到第二业务端发送的替换指令,需要再次向第二业务端发送到期提示。
上述第三预设时长可以根据实际应用场景进行设定,如第三预设时长为7天。
上述第一预设时长、第二预设时长以及第三预设时长可以相同,也可以不同,本实施例对此不做具体限定。
上述技术方案中,针对生产类的自签证书,如果系统在向上述第二业务端发送到期提示之后的较长时间,还没有收到该第二业务端发送的替换指令,说明第二业务端可能没有收到上述到期提示,或者对应业务的负责人员忘记对到期提示进行处理。因此系统在发送到期提示的第三预设时长内,收到第二业务端基于上述到期提示发送的携带更新后的过期时间的替换指令,基于更新后的过期时间生成新的自签证书,并将待处理的生产类的自签证书替换为该新的自签证书,这样对应的业务后续可以继续使用新的自签证书,减少因生产类的自签证书过期,导致的业务无法正常进行的情况发生。系统在发送到期提示的第三预设时长内,还没有收到第二业务端发送的替换指令,需要再次向第二业务端发送到期提示,减少因第二业务端没有收到上述到期提示,或者对应业务的负责人员忘记对到期提示进行处理等,导致不能及时更新待处理的目标证书的情况发生。
针对生产类的自签证书,系统中有多个根证书,本申请实施例提供了图7所示的第六种证书管理方法示意流程图,具体包括以下步骤:
步骤S701:响应生成自签证书的第一指令,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书。
实施中,系统有多个根证书,可通过以下方式生成根证书:
响应生成根证书的第二指令,基于所述第二指令中表征长度的信息,得到对应长度的第二RSA私钥;
根据所述第二RSA私钥以及所述第二指令中根证书的标识,生成根证书的请求信息;
基于所述第二RSA私钥、所述根证书的请求信息以及所述第二指令对应的过期时间,生成对应的根证书。
示例性的,RSA私钥长度可以为2048位;根证书使用的HASH(单向的散列算法)算法为SHA256(一种HASH算法,散列结果长度是32字节,冲突概率比较低)。
本实施例,得到多个根证书后,设定各根证书的名称以及使用环境(不同根证书的名称、使用环境不同)。
一些可选的实施方式中,系统将上述根证书在文件处理单元存储,在生成自签证书的过程中使用文件处理单元中的根证书;系统还将上述根证书在数据库存储,如果文件处理单元中根证书丢失后,从数据库获取对应根证书,恢复文件处理单元丢失的根证书。
自签证书是系统在收到生成自签证书的第一指令后,基于第一指令对应的目标根证书以及目标过期时间生成的,系统有多个根证书,因此可以生成不同类型的自签证书。
一些可选的实施方式中,可通过以下方式生成自签证书:
在确定所述目标过期时间没有超过所述目标根证书的过期时间后,生成所述第一指令对应的DNS文件;
基于自签证书的请求信息、所述目标根证书、所述目标过期时间以及所述DNS文件,生成对应的自签证书;其中,所述自签证书的请求信息是基于第一RSA私钥以及所述第一指令中自签证书的标识生成的,所述第一RSA私钥是基于所述第一指令中表征长度的信息得到的对应长度的RSA私钥。
通过确定目标过期时间没有超过目标根证书的过期时间,保证了生成的自签证书的过期时间不会超过该目标根证书的过期时间,进而保证了该自签证书的正常使用。
可选地,若所述生成自签证书的第一指令包含通配符,则生成的所述DNS文件包含所述通配符以及基于所述通配符确定的二级域名;和/或若所述生成自签证书的第一指令包含多个IP,则所述DNS文件包含基于各IP分别生成的信息。
如果生成自签证书的第一指令包含通配符,上述DNS文件包含通配符以及通配符对应的二级域名,从而使业务基于生成的自签证书访问该二级域名;如果生成自签证书的第一指令包含多个IP,上述DNS文件包含基于各IP分别生成的信息,从而使业务基于生成的自签证书访问多个IP,满足了不同应用场景的需求。
下面以一个具体的示例说明生成自签证书的具体流程:
1)根据第一指令携带的根证书标识,从上述多个根证书中选择该第一指令对应的目标根证书;
2)根据目标根证书的过期时间,判断上述第一指令的过期时间是否合规(如第一指令的过期时间超过了目标根证书的过期时间就不合规,否则合规),确定合规后进入步骤3),否则停止生成自签证书,或者对第一指令的过期时间进行调整后进入步骤3);
3)计算DNS文件,DNS文件用于生成证书的DNS记录,包含所有业务需要访问的域名以及IP,上述请求可能包含通配符或者多IP;如果包含通配符需要计算出二级域名,将二级域名和通配符域名同时放在DNS文件;如果包含多IP,需要将多IP进行拆分,分条记录放到文件;
4)使用openssl生成第一RSA私钥,私钥长度为2048位;
5)基于第一RSA私钥以及第一指令中自签证书的标识生成自签证书的请求信息;
6)、根据上述自签证书的请求信息、目标根证书、目标过期时间以及DNS文件,生成自签证书。
系统可将生成的自签证书进行编码,然后将编码后的自签证书以及基于生成自签证书的第一指令确定的业务信息进行存储。
步骤S702:从生成的自签证书中,选择生产类的自签证书作为所述目标证书。
如上所述,系统中有多个根证书,如测试根证书、办公网络根证书、生产根证书、云生产根证书等。基于不同根证书生成不同类型的自签证书,如测试根证书对应测试类的自签证书,办公网络根证书、生产根证书以及云生产根证书对应生产类的自签证书。由于非生产类的自签证书,不需要进行过期处理,上述目标证书不包括测试类的自签证书。
步骤S703:确定所述系统中生产类的自签证书的过期时间与当前时间的时间差值。
步骤S704:将时间差值小于预设差值的生产类的自签证书确定为待处理的生产类的自签证书。
步骤S705:基于所述待处理的生产类的自签证书的对象信息,向对应的目标对象发送到期提示。
针对生产类的自签证书,所述对象信息包括表征使用生产类的自签证书的业务的第三业务信息,所述第三业务信息是基于生成生产类的自签证书的请求确定的,所述目标对象包括待处理的生产类的自签证书的第三业务信息对应的第二业务端。
步骤S706:若在发送所述到期提示的第三预设时长内,收到第二业务端发送的携带更新后的过期时间的替换指令,则基于所述更新后的过期时间生成新的自签证书,并将所述待处理的生产类的自签证书替换为所述新的自签证书。
该步骤S703-S706的具体实现方式可参照上述步骤S601-S604,此处不再赘述。
上述技术方案中,自签证书是系统在收到生成自签证书的第一指令后,基于该第一指令对应的目标根证书以及目标过期时间生成的,系统有多个根证书,因此可以生成不同类型的自签证书,便于系统对自签证书进行分类管理,由于非生产类自签证书(如测试类自签证书),不需要进行过期处理,因此从生成的自签证书中,将生产类的自签证书确定为目标证书。
针对上述任一实施例,响应针对所述对象信息的修改指令,对所述对象信息进行修改。
实施中,由于证书的管理人员、业务的负责人员等可能会发生变动,需要对上述对象信息进行修改。
示例性的,系统的运维人员在获知证书的管理人员、业务的负责人员发生变动后,触发上述修改指令,例如:外购证书的管理人员发生变动后,触发针对管理人员相关信息的修改指令;外购证书对应的业务的负责人员发生变动后,触发针对上述第一业务信息或者第二业务信息的修改指令;生产类的自签证书对应的业务的负责人员发生变动后,触发针对上述第三业务信息的修改指令。
上述技术方案中,通过响应上述修改指令,修改对象信息,根据修改后的对象信息,能够确定出当前的目标对象。
基于相同的发明构思,本申请实施例提供一种证书管理系统,参阅图8所示,证书管理系统800包括:
确定单元801,用于确定所述系统中目标证书的过期时间与当前时间的时间差值;
确定单元801,还用于将时间差值小于预设差值的目标证书确定为待处理的目标证书;
提示单元802,用于基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;
更新单元803,用于响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
可选地,若所述目标证书包括生产类的自签证书,则所述对象信息包括表征使用生产类的自签证书的业务的第三业务信息,所述第三业务信息是基于生成生产类的自签证书的请求确定的,所述目标对象包括待处理的生产类的自签证书的第三业务信息对应的第二业务端,所述目标指令包括携带更新后的过期时间的替换指令;
更新单元803具体用于:
若在发送所述到期提示的第三预设时长内,收到所述替换指令,则基于所述更新后的过期时间生成新的自签证书,并将所述待处理的生产类的自签证书替换为所述新的自签证书。
可选地,所述系统中有多个根证书;
确定单元801还用于在确定所述系统中目标证书的过期时间与当前时间的时间差值之前,响应生成自签证书的第一指令,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书;
从生成的自签证书中,选择生产类的自签证书作为所述目标证书。
可选地,确定单元801具体用于:
在确定所述目标过期时间没有超过所述目标根证书的过期时间后,生成所述第一指令对应的DNS文件;
基于自签证书的请求信息、所述目标根证书、所述目标过期时间以及所述DNS文件,生成对应的自签证书;其中,所述自签证书的请求信息是基于第一RSA私钥以及所述第一指令中自签证书的标识生成的,所述第一RSA私钥是基于所述第一指令中表征长度的信息得到的对应长度的RSA私钥。
可选地,若所述第一指令包含通配符,则生成的所述DNS文件包含所述通配符以及基于所述通配符确定的二级域名;和/或若所述第一指令包含多个IP,则所述DNS文件包含基于各IP分别生成的信息。
可选地,系统中的根证书是通过以下方式生成的:
响应生成根证书的第二指令,基于所述第二指令中表征长度的信息,得到对应长度的第二RSA私钥;
根据所述第二RSA私钥以及所述第二指令中根证书的标识,生成根证书的请求信息;
基于所述第二RSA私钥、所述根证书的请求信息以及所述第二指令对应的过期时间,生成对应的根证书。
可选地,若所述目标证书包括外购证书,则所述目标对象包括用于管理外购证书的管理端,所述目标指令包括携带更新后的外购证书的替换指令;
更新单元803具体用于:
若在发送所述到期提示的第一预设时长内,收到所述替换指令,则基于所述替换指令,将待处理的外购证书替换为所述更新后的外购证书;
基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书;其中,所述业务信息为使用对应待处理的外购证书的业务的信息。
可选地,更新单元803还用于:
若在发送所述到期提示的第一预设时长内,没有收到所述替换指令,则再次向所述管理端发送到期提示。
可选地,任一待处理的外购证书对应一个或者多个业务;
更新单元803还用于在通知对应的第一业务端更换所述待处理的外购证书之后,确定在通知对应的第一业务端更换所述待处理的外购证书的第二预设时长内,是否收到各业务的第一业务端发送的更换证书的请求;
针对收到请求对应的业务,将所述更新后的外购证书发送给所述业务对应的第一业务端;和/或
针对没有收到请求对应的业务,再次通知所述业务对应的第一业务端更换所述待处理的外购证书。
由于该系统即是本申请实施例中的方法中的系统,并且该系统解决问题的原理与该方法相似,因此该系统的实施可以参见方法的实施,重复之处不再赘述。
基于相同的技术构思,本申请实施例还提供了一种计算设备900,如图9所示,包括至少一个处理器901,以及与至少一个处理器连接的存储器902,本申请实施例中不限定处理器901与存储器902之间的具体连接介质,图9中处理器901和存储器902之间通过总线903连接为例。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,处理器901是计算设备的控制中心,可以利用各种接口和线路连接计算设备的各个部分,通过运行或执行存储在存储器902内的指令以及调用存储在存储器902内的数据,从而实现数据处理。可选的,处理器901可包括一个或多个处理单元,处理器901可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理下发指令。可以理解的是,上述调制解调处理器也可以不集成到处理器901中。在一些实施例中,处理器901和存储器902可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器901可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合证书管理方法实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器902作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器902可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器902是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器902还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
在本申请实施例中,存储器902存储有计算机程序,当该程序被处理器901执行时,使得处理器901执行:
确定证书管理系统中目标证书的过期时间与当前时间的时间差值;
将时间差值小于预设差值的目标证书确定为待处理的目标证书;
基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
可选地,若所述目标证书包括生产类的自签证书,则所述对象信息包括表征使用生产类的自签证书的业务的第三业务信息,所述第三业务信息是基于生成生产类的自签证书的请求确定的,所述目标对象包括待处理的生产类的自签证书的第三业务信息对应的第二业务端,所述目标指令包括携带更新后的过期时间的替换指令;
处理器901具体执行:
若在发送所述到期提示的第三预设时长内,收到所述替换指令,则基于所述更新后的过期时间生成新的自签证书,并将所述待处理的生产类的自签证书替换为所述新的自签证书。
可选地,所述系统中有多个根证书,处理器901在确定所述系统中目标证书的过期时间与当前时间的时间差值之前,还执行:
响应生成自签证书的第一指令,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书;
从生成的自签证书中,选择生产类的自签证书作为所述目标证书。
可选地,处理器901具体执行:
在确定所述目标过期时间没有超过所述目标根证书的过期时间后,生成所述第一指令对应的DNS文件;
基于自签证书的请求信息、所述目标根证书、所述目标过期时间以及所述DNS文件,生成对应的自签证书;其中,所述自签证书的请求信息是基于第一RSA私钥以及所述第一指令中自签证书的标识生成的,所述第一RSA私钥是基于所述第一指令中表征长度的信息得到的对应长度的RSA私钥。
可选地,若所述第一指令包含通配符,则生成的所述DNS文件包含所述通配符以及基于所述通配符确定的二级域名;和/或若所述第一指令包含多个IP,则所述DNS文件包含基于各IP分别生成的信息。
可选地,系统中的根证书是通过以下方式生成的:
响应生成根证书的第二指令,基于所述第二指令中表征长度的信息,得到对应长度的第二RSA私钥;
根据所述第二RSA私钥以及所述第二指令中根证书的标识,生成根证书的请求信息;
基于所述第二RSA私钥、所述根证书的请求信息以及所述第二指令对应的过期时间,生成对应的根证书。
可选地,若所述目标证书包括外购证书,则所述目标对象包括用于管理外购证书的管理端,所述目标指令包括携带更新后的外购证书的替换指令;
处理器901具体执行:
若在发送所述到期提示的第一预设时长内,收到所述替换指令,则基于所述替换指令,将待处理的外购证书替换为所述更新后的外购证书;
基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书;其中,所述业务信息为使用对应待处理的外购证书的业务的信息。
可选地,处理器901还执行:
若在发送所述到期提示的第一预设时长内,没有收到所述替换指令,则再次向所述管理端发送到期提示。
可选地,任一待处理的外购证书对应一个或者多个业务;
处理器901在通知对应的第一业务端更换所述待处理的外购证书之后,还执行:
确定在通知对应的第一业务端更换所述待处理的外购证书的第二预设时长内,是否收到各业务的第一业务端发送的更换证书的请求;
针对收到请求对应的业务,将所述更新后的外购证书发送给所述业务对应的第一业务端;和/或
针对没有收到请求对应的业务,再次通知所述业务对应的第一业务端更换所述待处理的外购证书。
由于该计算设备即是本申请实施例中的方法中的计算设备,并且该计算设备解决问题的原理与该方法相似,因此该计算设备的实施可以参见方法的实施,重复之处不再赘述。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行上述证书管理方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种证书管理方法,其特征在于,应用于证书管理系统,该方法包括:
确定所述系统中目标证书的过期时间与当前时间的时间差值;
将时间差值小于预设差值的目标证书确定为待处理的目标证书;
基于所述待处理的目标证书的对象信息,向对应的目标对象发送到期提示;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书。
2.如权利要求1所述的方法,其特征在于,若所述目标证书包括生产类的自签证书,则所述对象信息包括表征使用生产类的自签证书的业务的第三业务信息,所述第三业务信息是基于生成生产类的自签证书的请求确定的,所述目标对象包括待处理的生产类的自签证书的第三业务信息对应的第二业务端,所述目标指令包括携带更新后的过期时间的替换指令;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书,包括:
若在发送所述到期提示的第三预设时长内,收到所述替换指令,则基于所述更新后的过期时间生成新的自签证书,并将所述待处理的生产类的自签证书替换为所述新的自签证书。
3.如权利要求1所述的方法,其特征在于,所述系统中有多个根证书,在确定所述系统中目标证书的过期时间与当前时间的时间差值之前,还包括:
响应生成自签证书的第一指令,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书;
从生成的自签证书中,选择生产类的自签证书作为所述目标证书。
4.如权利要求3所述的方法,其特征在于,基于所述第一指令对应的目标根证书以及目标过期时间,生成对应的自签证书,包括:
在确定所述目标过期时间没有超过所述目标根证书的过期时间后,生成所述第一指令对应的DNS文件;
基于自签证书的请求信息、所述目标根证书、所述目标过期时间以及所述DNS文件,生成对应的自签证书;其中,所述自签证书的请求信息是基于第一RSA私钥以及所述第一指令中自签证书的标识生成的,所述第一RSA私钥是基于所述第一指令中表征长度的信息得到的对应长度的RSA私钥。
5.如权利要求4所述的方法,其特征在于,若所述第一指令包含通配符,则生成的所述DNS文件包含所述通配符以及基于所述通配符确定的二级域名;和/或
若所述第一指令包含多个IP,则所述DNS文件包含基于各IP分别生成的信息。
6.如权利要求3至5任一所述的方法,其特征在于,系统中的根证书是通过以下方式生成的:
响应生成根证书的第二指令,基于所述第二指令中表征长度的信息,得到对应长度的第二RSA私钥;
根据所述第二RSA私钥以及所述第二指令中根证书的标识,生成根证书的请求信息;
基于所述第二RSA私钥、所述根证书的请求信息以及所述第二指令对应的过期时间,生成对应的根证书。
7.如权利要求1所述的方法,其特征在于,若所述目标证书包括外购证书,则所述目标对象包括用于管理外购证书的管理端,所述目标指令包括携带更新后的外购证书的替换指令;
响应所述目标对象基于所述到期提示发送的目标指令,更新所述待处理的目标证书,包括:
若在发送所述到期提示的第一预设时长内,收到所述替换指令,则基于所述替换指令,将待处理的外购证书替换为所述更新后的外购证书;
基于所述待处理的外购证书的业务信息,通知对应的第一业务端更换所述待处理的外购证书;其中,所述业务信息为使用对应待处理的外购证书的业务的信息。
8.如权利要求7所述的方法,其特征在于,所述方法还包括:
若在发送所述到期提示的第一预设时长内,没有收到所述替换指令,则再次向所述管理端发送到期提示。
9.如权利要求7所述的方法,其特征在于,任一待处理的外购证书对应一个或者多个业务,通知对应的第一业务端更换所述待处理的外购证书之后,还包括:
确定在通知对应的第一业务端更换所述待处理的外购证书的第二预设时长内,是否收到各业务的第一业务端发送的更换证书的请求;
针对收到请求对应的业务,将所述更新后的外购证书发送给所述业务对应的第一业务端;和/或
针对没有收到请求对应的业务,再次通知所述业务对应的第一业务端更换所述待处理的外购证书。
10.一种计算设备,其特征在于,包括至少一个处理器以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1至9任一所述的方法。
CN202110624126.6A 2021-06-04 2021-06-04 一种证书管理方法及计算设备 Pending CN113326503A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110624126.6A CN113326503A (zh) 2021-06-04 2021-06-04 一种证书管理方法及计算设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110624126.6A CN113326503A (zh) 2021-06-04 2021-06-04 一种证书管理方法及计算设备

Publications (1)

Publication Number Publication Date
CN113326503A true CN113326503A (zh) 2021-08-31

Family

ID=77419653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110624126.6A Pending CN113326503A (zh) 2021-06-04 2021-06-04 一种证书管理方法及计算设备

Country Status (1)

Country Link
CN (1) CN113326503A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115150162A (zh) * 2022-07-01 2022-10-04 阿里云计算有限公司 一种根证书更新方法、装置
CN116882636A (zh) * 2023-09-05 2023-10-13 苏州浪潮智能科技有限公司 证书生命周期管理方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115150162A (zh) * 2022-07-01 2022-10-04 阿里云计算有限公司 一种根证书更新方法、装置
CN116882636A (zh) * 2023-09-05 2023-10-13 苏州浪潮智能科技有限公司 证书生命周期管理方法、装置、设备及存储介质
CN116882636B (zh) * 2023-09-05 2024-01-16 苏州浪潮智能科技有限公司 证书生命周期管理方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US11233657B2 (en) Method and system for registering digital documents
CN111163182B (zh) 基于区块链的设备注册方法、装置、电子设备和存储介质
JP7352622B2 (ja) ブロックチェーン・タイムスタンプ協定
US20190156332A1 (en) Optimization of high volume transaction performance on a blockchain
CN111427957A (zh) 区块链投票信息校验方法、装置、设备以及存储介质
CN111314172B (zh) 基于区块链的数据处理方法、装置、设备及存储介质
CN111523890A (zh) 基于区块链的数据处理方法、装置、存储介质及设备
US11108545B2 (en) Creating a blockchain account and verifying blockchain transactions
CN111669402B (zh) 加密通信方法、装置、设备及存储介质
CN113326503A (zh) 一种证书管理方法及计算设备
CN110084600B (zh) 决议事务请求的处理、验证方法、装置、设备及介质
CN109861996B (zh) 基于区块链的关系证明方法、装置、设备及存储介质
CN106327140B (zh) 一种对数据修改的监控方法和装置
CN107659579B (zh) 一种现场存证方法、设备及相关存证系统
CN111010282B (zh) 一种基于区块链的信息处理方法、相关装置及存储介质
CN111260475A (zh) 一种数据处理方法、区块链节点设备及存储介质
CN113950679A (zh) 使用预言机共识来验证测量数据集
CN111817859A (zh) 基于零知识证明的数据共享方法、装置、设备及存储介质
CN109842681A (zh) 一种兼顾集中式与分布式特色的数据管理系统及方法
CN112132588B (zh) 基于区块链的数据处理方法、装置、路由设备及存储介质
CN111698227B (zh) 信息同步管理方法、装置、计算机系统及可读存储介质
EP3174263A1 (en) Apparatus and method for verifying detection rule
CN110674532B (zh) 证据文件防篡改方法及装置
CN107948130B (zh) 一种文件处理方法、服务器及系统
CN110889763A (zh) 一种基于大数据的金融管理系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination