CN116800441A - 一种提供Web服务的方法、装置、系统、存储介质及设备 - Google Patents
一种提供Web服务的方法、装置、系统、存储介质及设备 Download PDFInfo
- Publication number
- CN116800441A CN116800441A CN202210249043.8A CN202210249043A CN116800441A CN 116800441 A CN116800441 A CN 116800441A CN 202210249043 A CN202210249043 A CN 202210249043A CN 116800441 A CN116800441 A CN 116800441A
- Authority
- CN
- China
- Prior art keywords
- certificate
- domain name
- alias
- web service
- edge device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000002159 abnormal effect Effects 0.000 claims description 25
- 230000004048 modification Effects 0.000 claims description 17
- 238000012986 modification Methods 0.000 claims description 17
- 230000015654 memory Effects 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 110
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种提供Web服务的方法、装置、系统、存储介质及设备,具体为提供Web服务的技术方案,通过管理平台获取Web服务域名、主证书和至少一个备用证书;生成与主证书、备用证书对应的配置文件和Web服务域名的域名别名,并分别将与各证书及对应的配置文件发送至对应的一组边缘设备,其中,将Web服务域名的别名记录修改为相应证书的域名别名,以使对应的一组边缘设备在接收到基于域名解析服务器域名解析的终端的访问请求时,使用对应证书进行安全握手。该技术方案通过为Web服务域名基于主证书和备用证书配置对应不同分组的边缘设备的多个域名别名,为不同分组的边缘设备配置、部署对应的主证书和备用证书,使得基于主备证书的边缘设备提供的Web服务处于在线互备状态,确保Web服务高可用性,提升了用户体验。
Description
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种提供Web服务的技术。
背景技术
基于安全性考虑,越来越多的Web服务采用HTTPS(Hyper Text TransferProtocol over Secure Socket Layer,基于安全套接层的超文本传输协议)协议。网站运营商部署的源站服务器从受信任的CA(Certification Authority,证书颁发机构)获取证书,在用户通过终端访问启用HTTPS协议的源站服务器时,终端通过验证源站服务器的证书来验证源站服务器的身份。
随着访问量越来越大,为了提升源站服务器提供Web服务的性能、可扩展性及安全性,以CDN(Content Delivery Network,内容分发网络)为例,网站运营商在终端与源站服务器之间部署具有可扩展性的CDN,使得终端发出的Web访问终止于CDN的边缘设备,即减轻了源站服务器的负载压力,又确保了源站服务器的安全性。通过CDN提供基于证书的Web服务(或称CDN服务)是通过管理平台从受信任的CA厂商处获取证书,将证书与Web服务域名绑定,并将证书及相应的配置文件后分发至CDN的边缘设备,将指向边缘设备的Web服务域名的域名别名分发至域名解析系统,终端发出的访问请求被域名解析后调度至边缘设备,基于证书进行安全握手,通过后获得CDN服务。
当前CDN服务均只支持一个Web服务域名绑定一份证书,即证书跟Web服务域名是一一对应的关系。即便网站运营商在边缘设备处同时存放了多份证书,但是也仅允许绑定其中一个证书来提供基于认证的CDN服务,其他证书并没有处于服务状态。因此,当绑定的证书不可用时,需要更新失效证书,或是将一份其它可用证书与Web服务域名进行绑定后再分发至边缘设备,无论哪种措施都会造成Web服务中断。
发明内容
本申请的目的是提供一种提供Web服务的技术方案,用以至少部分解决现有基于证书的Web服务当证书异常时会导致Web服务中断的技术问题。
根据本申请的一个方面,提供了一种提供Web服务的方法,其特征在于,应用于管理平台,所述方法包括:
获取Web服务域名、主证书和至少一个备用证书;
生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名;
将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至第一边缘设备和第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
可选地,其中,在所述将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至第一边缘设备和第二边缘设备之前,还包括:
边缘设备被划分为对应于所述主证书域名别名的所述第一边缘设备和对应于所述备用证书域名别名的所述第二边缘设备。
可选地,其中,当所述主证书的服务状态正常时,终端的访问请求被调度至所述第一边缘设备;以及,当所述主证书的服务状态异常时,终端的访问请求被调度至所述第二边缘设备。
可选地,其中,所述主证书的服务状态异常包括以下之一:主证书过期、主证书失效、主证书被吊销。
根据本申请的又一方面,提供了一种提供Web服务的方法,其特征在于,应用于域名解析服务器,所述方法包括:
获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备;
当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名;
当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
可选地,其中,所述将所述Web服务域名的别名记录由所述主证书域名个别名修改为所述备用证书域名别名包括:
响应于域名解析服务器控制台或者域名解析服务器的API接口的别名记录修改操作,将Web服务域名的别名记录由原来的主证书域名别名修改为备用证书域名别名。
可选地,所述方法还包括:
当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名;
当接收到终端针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名的所述第一边缘设备的地址信息,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手。
可选地,其中,所述将所述Web服务域名的别名记录恢复为所述主证书域名别名包括:
响应于域名解析服务器控制台或者域名解析服务器的API接口的别名记录修改操作,将所述Web服务域名的别名记录恢复为所述主证书域名别名。
根据本申请的另一方面,提供了一种提供Web服务的方法,其特征在于,应用于边缘设备,所述边缘设备包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,所述方法包括:
所述第一边缘设备接收管理平台下发的主证书和与所述主证书对应的主证书配置文件,所述第二边缘设备接收所述管理平台下发的备用证书和与所述备用证书对应的备用证书配置文件;
当所述第一边缘设备接收到终端的访问请求时,使用主证书进行安全握手,以及,当所述第二边缘设备在接收到终端的访问请求时,使用备用证书进行安全握手。
根据本申请的再一方面,提供了一种提供Web服务的装置,其特征在于,部署于管理平台,所述装置包括:
信息获取模块,用于获取Web服务域名、主证书和至少一个备用证书;
配置生成模块,用于生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名;
配置发送模块,用于将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至所述第一边缘设备和所述第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
根据本申请的还一方面,提供了一种提供Web服务的装置,其特征在于,部署于域名解析服务器,所述装置包括:
信息获取模块,用于获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备;
别名记录修改模块,用于当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名;
域名解析模块,用于当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名对应的所述第一边缘设备的地址信息,或者返回所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第一边缘设备或第二边缘设备在接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
可选地,其中,所述别名记录修改模块还用于:
当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名。
根据本申请的还一方面,提供了一种提供Web服务的装置,其特征在于,部署于边缘设备,所述边缘设备包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,所述装置包括:
配置接收模块,用于接收管理平台下发的主证书和/或备用证书,以及与所述主证书和所述备用证书分别对应的主证书配置文件和备用证书配置文件;
安全握手模块,用于当接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
根据本申请的还一个方面,提供了一种提供Web服务的系统,其特征在于,所述系统包括:
管理平台,用于获取Web服务域名、主证书和至少一个备用证书,生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名,并将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至所述第一边缘设备和所述第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手;
域名解析服务器,用于获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备,当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名,当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名,以及当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名对应的所述第一边缘设备的地址信息,或者返回所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第一边缘设备或第二边缘设备在接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
边缘设备,包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,其中,所述第一边缘设备用于接收所述管理平台下发的主证书和与所述主证书对应的主证书配置文件,所述第二边缘设备用于接收所述管理平台下发的备用证书和与所述备用证书对应的备用证书配置文件,当所述第一边缘设备接收到终端的访问请求时,使用所述主证书进行安全握手,当所述第二边缘设备接收到终端的访问请求时,使用所述备用证书进行安全握手。
与现有技术相比,本申请提供了一种提供Web服务的技术方案,其方法包括:通过管理平台获取Web服务域名、主证书和至少一个备用证书,生成与主证书对应的主证书配置文件和Web服务域名的主证书域名别名,以及与备用证书对应的备用证书配置文件和Web服务域名的备用证书域名别名,并将主证书配置文件、主证书和备用证书配置文件、备用证书分别发送至第一边缘设备和第二边缘设备,其中,当该第一边缘设备在接收到基于域名解析服务器的域名解析结果被调度至的终端的访问请求时,使用该主证书进行安全握手,以及当该第二边缘设备在接收到基于域名解析服务器的域名解析结果被调度至的终端的访问请求时,使用备用证书进行安全握手。其中,当主证书的服务状态异常时,将域名解析服务解析的该Web服务域名的别名记录由主证书域名别名修改为备用证书域名别名。可选地,当主证书的服务状态恢复正常时,将该Web服务域名的别名记录恢复为主证书域名别名。
本申请提供的一种提供Web服务的技术方案可带来的技术效果:
通过为Web服务域名配置对应不同分组的边缘设备的多个域名别名,并分别为该不同分组的边缘设备配置、部署对应的主证书和备用证书,可使得基于主证书和备用证书的不同分组的边缘设备处于在线互备状态,正常情况下由提供基于主证书的边缘设备提供Web服务,基于备用证书的边缘设备处于可服务的在线备用状态,一旦主证书的服务状态异常,可无缝切换至基于备用证书的边缘设备提供Web服务,可确保基于证书的Web服务不中断,保障了基于证书的Web服务的高可用性,提升了用户体验。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个方面的应用在管理平台的一种提供Web服务的方法流程图;
图2示出根据本申请另一个方面的应用在域名解析服务器的一种提供Web服务的方法流程图;
图3示出根据本申请又一个方面的应用在边缘设备的一种提供Web服务的方法流程图;
图4示出根据本申请一个方面的部署于管理平台的一种提供Web服务的装置示意图;
图5示出根据本申请另一个方面的部署于域名解析服务器的一种提供Web服务的装置示意图;
图6示出根据本申请又一个方面的部署于边缘设备的一种提供Web服务的装置示意图;
图7示出根据本申请再一个方面的一种提供Web服务的系统示意图;
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本申请的各实施例的一个典型的配置中,设备、系统各可信方和/或装置各模块均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或者任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
为更进一步阐述本申请所采取的技术手段及取得的效果,下面结合附图及优选实施例,对本申请的技术方案,进行清楚和完整的描述。
一个典型的提供基于证书的Web服务的网络通常包括终端、CDN的边缘设备和管理平台、域名解析服务器,以及源站服务器。
其中,用户可发送Web访问请求的终端可以是各种计算机设备、智能终端设备,所述设备可能是企业的资产设备,也可能是个人的BYOD(Bring Your Own Device,自带设备)。其中,所述计算机设备包括但不限于个人计算机、笔记本电脑,所述智能终端设备包括但不限于智能手机、平板电脑。在此,所述计算机设备和/或智能终端设备仅为举例,其他现有的或者今后可能出现的设备和/或资源如适用于本申请也应包含在本申请的保护范围内,在此,以引用的方式包含于此。
其中,边缘设备是CDN的逻辑功能单元,作为提供CDN服务的主要实体,主要负责接收被域名解析服务器调度过来的用户通过终端发出的访问请求,使用证书与终端进行安全握手,握手成功后向用户提供本地缓存的内容,如果缓存内容未命中,则可以向上级节点或者源站服务器获取并缓存内容后向用户提供。该边缘设备可提供基于证书的Web服务,包括但不限于云网络的边缘服务器、边缘网关、边缘控制器、边缘路由器或网络机顶盒,在此,不做限定,任何现有或今后出现的其他形式的边缘设备若适用本申请,都应包含在本申请的保护范围内。
域名解析服务器中存储有源站服务器的Web服务域名对应的域名别名记录,包含Web服务域名对应的域名别名,以及该域名别名对应的边缘设备的IP地址信息(可以有多个边缘设备的IP地址信息),当收到用户通过终端发出的访问请求时,将访问请求中包含的Web服务域名进行域名解析后,向用户反馈Web服务域名对应的域名别名对应的最合适一个边缘设备的IP地址信息,终端再将访问请求发送至该IP地址信息对应的边缘设备。当源站服务器的Web服务域名对应的域名别名记录有更新时,域名解析服务器还会根据接收到的指示更新Web服务域名对应的域名别名记录,以提供正确的域名解析服务。
管理平台是部署和管理CDN安全策略、实现对CDN中部署的各种类型安全设备的统一管理和维护,为CDN提供的应用或者服务提供安全防护支撑。其中,管理平台还可以包括证书管理模块和资源管理模块,分别提供证书管理功能和资源管理功能。或者由独立的证书管理平台提供证书管理功能,由资源管理平台提供资源管理功能。其中,证书管理功能包括:获取CA发布的证书,以及监测证书状态;资源管理功能包括:基于业务规划对CDN的所有边缘设备标记若干标签,并基于标签自动将所有边缘设备分成若干组。
图1示出根据本申请一个方面的应用在管理平台的一种提供Web服务的方法流程图,其中,一个实施例的方法包括:
S101获取Web服务域名、主证书和至少一个备用证书;
S102生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名;
S103将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至第一边缘设备和第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
在该实施例中,在所述步骤S101中,管理平台100获取到源站服务器300对应的Web服务域名、主证书和至少一个备用证书。
其中,管理平台100可以是从Web服务提供商处获取到其源站服务器300对应的Web服务域名、主证书和至少一个备用证书,其中,Web服务提供商向颁发证书的CA厂商申请证书,成功后,获得主证书和至少一个备用证书。或者是Web服务提供商将成功申请到的主证书和至少一个备用证书上传至独立的用于管理证书、监测证书状态的证书管理平台,管理平台100从Web服务提供商处获取到其源站服务器300对应的Web服务域名,从证书管理平台获取主证书和至少一个备用证书。在此,不对管理平台100获取到证书的方式进行限定,其他现有的或者今后可能出现的证书获取方式如适用于本申请也应包含在本申请的保护范围内,在此,以引用的方式包含于此。
其中,主证书和备用证书可以是向同一CA厂商申请,也可以是向不同CA厂商申请,在此,不作限定。
继续在该实施例中,在所述步骤S102中,管理平台100根据Web服务提供商提供的Web服务域名,生成与主证书对应的主证书配置文件和该Web服务域名的主证书域名别名,以及生成与每个备用证书对应的备用证书配置文件和该Web服务域名的备用证书域名别名,其中,主证书配置文件中记录主证书域名别名及其关联的主证书,备用证书配置文件中记录备用证书域名别名及其关联的备用证书。比如,管理平台100通过控制台添加Web服务商提供的Web服务域名,将主证书和备用证书分别与该Web服务域名绑定,分别生成主证书配置文件和该Web服务域名的主证书域名别名,以及备用证书配置文件和该Web服务域名的备用证书域名别名。
继续在该实施例中,在所述步骤S103中,管理平台100将该主证书和其对应的主证书配置文件发送至CDN的第一边缘设备810,将该备用证书和其对应的备用证书配置文件发送至该CDN的第二边缘设备820,以使该第一边缘设备810在接收到用户通过终端发出的访问请求时,使用该主证书进行安全握手,及该第二边缘设备820在接收到用户通过终端发出的访问请求时,使用该备用证书进行安全握手。
一个可选实施例中,管理平台100还将主证书域名别名和备用证书域名别名发送至域名解析服务器200,或者通过Web服务提供商的源站服务器300将主证书域名别名和备用证书域名别名发送至域名解析服务器200。
一个可选实施例中,在管理平台100将该主证书和其对应的主证书配置文件发送至CDN的第一边缘设备810,将该备用证书和其对应的备用证书配置文件发送至该CDN的第二边缘设备820之前,该CDN的所有边缘设备会根据主证书域名别名和备用证书域名别名标记为两类标签,基于标签自动被划分为对应于该Web服务域名的主证书域名别名的第一边缘设备群组和对应于该Web服务域名的备用证书域名别名的第二边缘设备群组,其中,第一边缘设备群组和第二边缘设备群组分别是包含若干不同边缘设备及其IP地址信息的不同的边缘设备群组,多个第一边缘设备810组成第一边缘设备群组,多个第二边缘设备820组成第二边缘设备群组。比如,若CDN的所有边缘设备的IP地址信息分别为x.x.x.1至x.x.x.10,共10个边缘设备,管理平台100将主证书域名别名和备用证书域名别名作为标签,通过资源管理模块自动将CDN的所有边缘设备800按标签进行分组管理,或者将标签信息发送至CDN的单独的资源管理平台,通过资源管理平台自动将CDN的所有边缘设备按标签进行分组管理,确定对应于该Web服务域名的主证书域名别名的第一边缘设备群组和对应于该Web服务域名的备用证书域名别名的第二边缘设备群组,例如,第一边缘设备群组包括IP地址信息分别为x.x.x.1至x.x.x.5的多个第一边缘设备810,第二边缘设备群组包括IP地址信息分别为x.x.x.6至x.x.x.10的多个第二边缘设备820,此处仅为举例,实际应用中可解决具体应用场景和实际需求进行自动划分的设置。
若Web服务商成功申请了1个主证书和N个备用证书,一个可选实施例中,该CDN的所有边缘设备800会被标记成(N+1)类标签,基于标签自动被划分为(N+1)组,分别对应于该Web服务域名的主证书域名别名和每个备用证书域名别名,管理平台100将在所述步骤S102中生成的主证书和其对应的证书配置文件、每个备用证书和其对应的备用证书配置文件分别发送至该CDN的一组边缘设备,以使当其中最合适的一个边缘设备在接收到用户通过终端发出的访问请求时,使用对应的证书进行安全握手。比如,管理平台100将每个证书域名别名作为标签,并通过资源管理模块自动将CDN的所有边缘设备按标签进行分组管理,或者将标签信息发送至CDN的单独的资源管理平台,通过该资源管理平台自动将CDN的所有边缘设备按标签进行分组管理,确定对应于该Web服务域名的每个证书域名别名的一组边缘设备。
其中,CDN的所有边缘设备800可以是归属于不同云平台的边缘设备,或者,部署于不同区域和/或运营商的边缘设备,但都可通过管理平台100被统一管理,以确保不同标签的各组边缘设备之间在配置和缓存文件方面实现共享,在主证书服务状态出现异常后切换到备用证书的过程中,能够实现缓存复用,也可保证CDN服务、回源稳定性等均不会受到影响。
一个可选实施例中,当该主证书的服务状态正常时,终端的访问请求被调度至第一边缘设备810;以及,当该主证书的服务状态异常时,终端的访问请求被调度至第二边缘设备820。
其中,当该主证书的服务状态正常时,终端的访问请求经域名解析服务器200进行域名解析后被调度至最合适的一个第一边缘设备810,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手,当安全握手成功后,该第一边缘设备810向终端提供Web服务,例如可以是返回与终端请求对应的请求内容;当该主证书的服务状态异常时,终端的访问请求经域名解析服务器进行域名解析后被调度至最合适的一个第二边缘设备820,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手,当安全握手成功后,该第二边缘设备820向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。
上述实施例和/或各可选实施例中,证书配置文件和域名别名的生成及分发、边缘设备的分组以及证书服务状态的检测、域名别名的修改可基于系统架构及系统各模块的软硬件环境自动实现,且存有备用证书的第二边缘设备820随时处于可服务状态,Web服务可实时切换,当主证书服务状态异常时,可无缝切换至备用证书,使用第二边缘设备820提供Web服务,从而可确保终端的访问请求不会因主证书的服务状态异常被中断或拒绝,提供了基于证书的Web服务的高可用性保障,可使得终端用户对主证书的服务状态异常无感知,提升了用户体验。
其中,上述主证书的服务状态异常可以包括以下之一:
主证书过期、主证书失效、主证书被吊销。
图2示出根据本申请另一个方面的应用在域名解析服务器的一种提供Web服务的方法流程图,其中,一个实施例的方法包括:
S201获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备;
S202当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名;
S203当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
在该实施例中,在所述步骤S201中,域名解析服务器200从管理平台100或者Web服务提供商的源站服务器300获得Web服务域名对应的主证书域名别名和备用证书域名别名,并根据源站服务器300指示或者基于默认设置,将主证书域名别名作为该Web服务域名的别名记录,其中,该主证书域名别名对应提供该Web服务域名的主证书服务的第一边缘设备群组,其中,第一边缘设备群组由多个第一边缘设备810组成,在域名解析服务器200中存储的主证书域名别名对应所述多个第一边缘设备810的IP地址信息,该备用证书域名别名对应提供该Web服务域名的备用证书服务的第二边缘设备群组,其中,第二边缘设备群组由多个第二边缘设备820组成,在域名解析服务器200中存储的备用证书域名别名对应所述多个第二边缘设备820的IP地址信息。
继续在该实施例中,为了可将终端的访问请求经域名解析后被调度至证书的服务状态正常的边缘设备,在所述步骤S202中,当该Web服务域名的主证书的服务状态异常时,域名解析服务器200会收到相应的指示信息,会将该Web服务域名的别名记录由主证书域名别名修改为备用证书域名别名。其中,管理平台100的证书管理模块或者独立的证书管理平台可以对证书的服务状态进行监测,当主证书的服务状态异常时,会向管理平台100发送相关信息,管理平台100直接向域名解析服务器200发送相应的指示信息,或者通过源站服务器300向域名解析服务器200发送相应的指示信息。
继续在该实施例中,在所述步骤S203中,当域名解析服务器200接收到终端发送的针对该Web服务域名的访问请求时,进行域名解析处理后,向终端返回对应于该备用证书域名别名的最合适的一个第二边缘设备820的IP地址信息,以使该终端的访问请求被调度至上述第二边缘设备820。当上述第二边缘设备820在接收到终端的访问请求时,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手,若握手成功,上述第二边缘设备820向终端返回与终端请求对应的请求内容。当主证书服务状态异常时,能够立刻无缝切换到备用证书使用第二边缘设备820提供Web服务,从而确保了向终端提供的基于证书的Web服务不会中断,而且,终端基于备用证书进行安全握手,主证书的服务状态异常也不会被终端感知到。
一个可选实施例中,域名解析服务器200可以以响应于域名解析服务器控制台方式,或者通过域名解析服务器的相应API接口来实现别名记录修改操作,将解析的该Web服务域名的别名记录由原来的主证书域名别名修改为备用证书域名别名,以实现Web服务域名的别名记录的自动修改,为Web服务的高可用性及提升用户体验提供保障。
一个可选实施例中,该方法还包括:
S204(未示出)当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名;
S205(未示出)当接收到终端针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名的所述第一边缘设备的地址信息,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手。
其中,在所述步骤S204中,当该Web服务域名的主证书的服务状态恢复正常时,域名解析服务器200就会收到相应的指示信息,会将所述Web服务域名的别名记录恢复为所述主证书域名别名。使得提供基于证书的Web服务的系统恢复到主证书和备用证书都处于可服务状态,避免备用证书的服务状态异常时造成基于证书的Web服务中断,确保高可用性。其中,管理平台100的证书管理模块或者独立的证书管理平台可以对证书的服务状态进行监测,当主证书的服务状态恢复正常时,会向管理平台100发送相关信息,管理平台100直接向域名解析服务器200发送相应的指示信息,或者通过源站服务器300向域名解析服务器200发送相应的指示信息。
继续在该实施例中,在所述步骤S205中,当域名解析服务器200接收到终端发送的针对该Web服务域名的访问请求时,进行域名解析处理后,向终端返回对应于该主证书域名别名的最合适的一个第一边缘设备810的IP地址信息,以使该终端的访问请求被调度至该第一边缘设备810。当该第一边缘设备810在接收到终端的访问请求时,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手,若握手成功,该第一边缘设备810向终端返回与终端请求对应的请求内容。此时终端是基于主证书进行安全握手,若备用证书的服务状态异常也不会被终端感知到。
一个可选实施例中,域名解析服务器200可以以响应于域名解析服务器控制台方式,或者通过域名解析服务器的相应API接口来实现别名记录修改操作,将该Web服务域名的别名记录由备用证书域名别名恢复为主证书域名别名,以实现Web服务域名的别名记录的自动修改,为Web服务的高可用性及提升用户体验提供保障。
图3示出根据本申请又一个方面的应用在边缘设备的一种提供Web服务的方法流程图,其中,所述边缘设备包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,一个实施例的方法包括:
S301所述第一边缘设备接收管理平台下发的主证书和与所述主证书对应的主证书配置文件,所述第二边缘设备接收所述管理平台下发的备用证书和与所述备用证书对应的备用证书配置文件;
S302当所述第一边缘设备接收到终端的访问请求时,使用主证书进行安全握手,以及,当所述第二边缘设备在接收到终端的访问请求时,使用备用证书进行安全握手。
根据Web服务提供商成功申请的证书数量,管理平台100会生成对应Web服务域名的若干个证书域名别名,以及与每个证书对应的证书配置文件,并将证书域名别名作为标签,CDN的所有边缘设备800会根据标签被自动分组管理,划分成若干个边缘设备群组,每一群组对应一个证书域名别名,其中,每个边缘设备群组都是包含若干不同边缘设备及其IP地址信息组成的不同的边缘设备群组。其中,CDN的所有边缘设备800可以是归属于不同云平台的边缘设备,或者,部署于不同区域和/或运营商的边缘设备,但都可通过管理平台100被统一管理。
在该实施例中,Web服务提供商成功申请了一个主证书和至少一个备用证书,CDN的所有边缘设备800被划分成两个边缘设备群组,包括对应于Web服务域名的主证书域名别名的由多个第一边缘设备810组成的第一边缘设备群组和对应于Web服务域名的备用证书域名别名的由多个第二边缘设备820组成的第二边缘设备群组。
在所述步骤S301中,第一边缘设备810接收管理平台100下发的主证书和与该主证书对应的主证书配置文件,第二边缘设备820接收管理平台100下发的备用证书和与该备用证书对应的备用证书配置文件。其中,主证书配置文件中记录主证书域名别名及其关联的主证书,备用证书配置文件中记录备用证书域名别名及其关联的备用证书。
继续在该实施例中,若主证书服务状态正常,针对Web服务域名的终端的访问请求会被域名解析服务器200进行域名解析后被调度至第一边缘设备群组中最合适的一个第一边缘设备810,在所述步骤S302中,当上述第一边缘设备810接收到该终端的访问请求时,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手,若握手成功,该第一边缘设备810向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。若主证书服务状态异常,域名解析服务器200将解析的别名记录由原来的主证书域名别名修改成备用证书别名域名,则针对Web服务域名的终端的访问请求会被域名解析服务器200进行域名解析后被调度至第二边缘设备群组中最合适的一个第二边缘设备820,在所述步骤S302中,当上述第二边缘设备820在接收到终端的访问请求时,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手,若握手成功,该第二边缘设备820向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。
图4示出根据本申请一个方面的部署于管理平台的一种提供Web服务的装置示意图,其中,一个实施例的所述装置包括:
信息获取模块410,用于获取Web服务域名、主证书和至少一个备用证书;
配置生成模块420,用于生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名;
配置发送模块430,用于将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至所述第一边缘设备和所述第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
在该实施例中,首先由管理平台100的信息获取模块410获取到源站服务器300对应的Web服务域名、主证书和至少一个备用证书。
其中,信息获取模块410可以是从Web服务提供商处获取到其源站服务器300对应的Web服务域名、主证书和至少一个备用证书,其中,Web服务提供商向颁发证书的CA厂商申请证书,成功后,获得主证书和至少一个备用证书。或者是Web服务提供商将成功申请到的主证书和至少一个备用证书上传至独立的用于管理证书、监测证书状态的证书管理平台,信息获取模块410从Web服务提供商处获取其源站服务器300对应的Web服务域名,从证书管理平台获取主证书和至少一个备用证书。
其中,主证书和备用证书可以是向同一CA厂商申请,也可以是向不同CA厂商申请,在此,不作限定。
然后由管理平台100的配置生成模块420根据信息获取模块410获取到的该Web服务域名,生成与主证书对应的主证书配置文件和该Web服务域名的主证书域名别名,以及生成与每个备用证书对应的备用证书配置文件和该Web服务域名的备用证书域名别名。
再由管理平台100的配置发送模块430将该主证书和其对应的主证书配置文件发送至CDN的由多个第一边缘设备810组成的第一边缘设备群组,将该备用证书和其对应的备用证书配置文件发送至该CDN的由多个第二边缘设备820组成的第二边缘设备群组,以使第一边缘设备810在接收到用户通过终端发出的访问请求时,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手,及第二边缘设备820在接收到用户通过终端发出的访问请求时,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手。
一个可选实施例中,管理平台100的配置发送模块430还将主证书域名别名和备用证书域名别名发送至域名解析服务器200,或者通过Web服务提供商的源站服务器300将主证书域名别名和备用证书域名别名发送至域名解析服务器200。
上述实施例和/或各可选实施例中,证书配置文件和域名别名的生成及分发、边缘设备的分组以及证书服务状态的检测、域名别名的修改可基于系统架构及系统各模块的软硬件环境自动实现,且存有备用证书的第二边缘设备随时处于可服务状态,Web服务可实时切换,当主证书服务状态异常时,可无缝切换至备用证书,使用第二边缘设备提供Web服务,从而可确保终端的访问请求不会因主证书的服务状态异常被中断或拒绝,提供了基于证书的Web服务的高可用性保障,可使得终端用户对主证书的服务状态异常无感知,提升了用户体验。
图5示出根据本申请另一个方面的部署于域名解析服务器的一种提供Web服务的装置示意图,其中,一个实施例的装置包括:
信息获取模块510,用于获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备;
别名记录修改模块520,用于当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名;
域名解析模块530,用于当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名对应的所述第一边缘设备的地址信息,或者返回所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第一边缘设备或第二边缘设备在接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
在该实施例中,首先由域名解析服务器200的信息获取模块510从管理平台100或者Web服务提供商的源站服务器300获得Web服务域名对应的主证书域名别名和备用证书域名别名,并根据源站服务器300指示或者基于默认设置,将主证书域名别名作为该Web服务域名的别名记录,其中,该主证书域名别名对应提供该Web服务域名的主证书服务的第一边缘设备群组,其中,第一边缘设备群组由多个第一边缘设备810组成,在域名解析服务器200中存储的主证书域名别名对应所述多个第一边缘设备810的IP地址信息,该备用证书域名别名对应提供该Web服务域名的备用证书服务的第二边缘设备群组,其中,第二边缘设备群组由多个第二边缘设备820组成,在域名解析服务器200中存储的备用证书域名别名对应所述多个第二边缘设备820的IP地址信息。
然后当域名解析服务器200收到与该Web服务域名的主证书的服务状态异常相关的指示信息时,由域名解析服务器200的别名记录修改模块520将域名解析服务器200解析的该Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名。
其中,管理平台100的证书管理模块或者独立的证书管理平台可以对证书的服务状态进行监测,当主证书的服务状态异常时,会向管理平台100发送相关信息,管理平台100直接向域名解析服务器200发送相应的指示信息,或者通过源站服务器300向域名解析服务器200发送相应的指示信息。
再然后当域名解析服务器的域名解析模块530接收到终端发送的针对所述Web服务域名的域名解析请求,返回域名解析服务器200中存储的别名记录中的域名别名对应的最合适的一个边缘设备的地址信息。其中,若别名记录中的域名别名是主证书域名别名,返回该主证书域名别名对应的最合适的一个第一边缘设备810的地址信息,以使上述第一边缘设备810在接收到终端的访问请求时,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手。若别名记录中的域名别名是备用证书域名别名,返回该备用证书域名别名对应的最合适的一个第二边缘设备820的地址信息,以使上述第二边缘设备820在接收到终端的访问请求时,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手。
一个可选实施例中,当该Web服务域名的主证书的服务状态恢复正常时,域名解析服务器200的别名记录修改模块520还将该Web服务域名的别名记录恢复为该主证书域名别名。
图6示出根据本申请又一个方面的部署于边缘设备的一种提供Web服务的装置示意图,其中,所述边缘设备包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,所述装置包括:
配置接收模块610,用于接收管理平台下发的主证书和/或备用证书,以及与所述主证书和所述备用证书分别对应的主证书配置文件和备用证书配置文件;
安全握手模块620,用于当接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
在该实施例中,在Web服务提供商成功申请一个主证书和至少一个备用证书后,CDN的所有边缘设备800被划分成两个分组,包括对应于Web服务域名的主证书域名别名的由多个第一边缘设备810组成的第一边缘设备群组和对应于Web服务域名的一个备用证书域名别名的由多个第二边缘设备820组成的第二边缘设备群组。边缘设备800的配置接收模块610接收管理平台100下发的主证书和/或备用证书,以及与所述主证书和所述备用证书分别对应的主证书配置文件和备用证书配置文件。
一个可选实施例中,第一边缘设备810的配置接收模块610接收管理平台100下发的主证书和与该主证书对应的主证书配置文件,第二边缘设备820的配置接收模块610接收管理平台100下发的备用证书和与该备用证书对应的备用证书配置文件。
一个可选实施例中,每个边缘设备800的配置接收模块610都接收管理平台100下发的主证书、与该主证书对应的主证书配置文件、备用证书、与该备用证书对应的备用证书配置文件。
继续在该实施例中,若主证书服务状态正常,针对Web服务域名的终端的访问请求会被域名解析服务器200进行域名解析后被调度至最合适的一个第一边缘设备810,当上述第一边缘设备810接收到该终端的访问请求时,通过该第一边缘设备810的安全握手模块620使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用主证书进行安全握手,若握手成功,该第一边缘设备810向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。若主证书服务状态异常,域名解析服务器200将解析的别名记录被修改成备用证书别名域名,则针对Web服务域名的终端的访问请求会被域名解析服务器200进行域名解析后被调度至最合适的一个第二边缘设备820,当上述第二边缘设备820在接收到终端的访问请求时,通过该第二边缘设备820的安全握手模块620使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用备用证书进行安全握手,若握手成功,该第二边缘设备820向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。
图7示出根据本申请再一个方面的一种提供Web服务的系统示意图,其中,一个实施例的系统包括:
管理平台100,用于获取Web服务域名、主证书和至少一个备用证书,生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名,并将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至第一边缘设备810和第二边缘设备820,以使所述第一边缘设备810在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备820在接收到终端的访问请求时,使用所述备用证书进行安全握手;
域名解析服务器200,用于获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备群组,其中,第一边缘设备群组由多个第一边缘设备810组成,在域名解析服务器200中存储的主证书域名别名对应所述多个第一边缘设备810的IP地址信息,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备群组,其中,第二边缘设备群组由多个第二边缘设备820组成,在域名解析服务器200中存储的备用证书域名别名对应所述多个第二边缘设备820的IP地址信息。当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名,当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名,以及当接收到终端发送的针对所述Web服务域名的域名解析请求,返回所述主证书域名别名对应的最合适的一个第一边缘设备810的地址信息,以使所述第一边缘设备810在接收到终端的访问请求时,使用所述主证书进行安全握手,或者返回所述备用证书域名别名对应的最合适的一个第二边缘设备820的地址信息,以使所述第二边缘设备820在接收到终端的访问请求时,使用所述述备用证书进行安全握手;
边缘设备800,包括对应于Web服务域名的主证书域名别名的由多个第一边缘设备810组成的第一边缘设备群组和对应于Web服务域名的备用证书域名别名的由多个第二边缘设备820组成的第二边缘设备群组,其中,所述第一边缘设备810用于接收所述管理平台100下发的主证书和与所述主证书对应的主证书配置文件,所述第二边缘设备820用于接收所述管理平台100下发的备用证书和与所述备用证书对应的备用证书配置文件,当所述第一边缘设备810接收到终端的访问请求时,使用所述主证书进行安全握手,当所述第二边缘设备820接收到终端的访问请求时,使用所述备用证书进行安全握手。
在该实施例中,管理平台100、域名解析服务器200、边缘设备800(包括第一边缘设备810和第二边缘设备820),以及源站服务器300、终端基于网络实现通信,其中,终端基于网络可访问域名解析服务器200和边缘设备800,管理平台100可与边缘设备800、域名解析服务器200、源站服务器300相互通信。
管理平台100首先从Web服务提供商处获取到其源站服务器300对应的Web服务域名、主证书和至少一个备用证书,其中,Web服务提供商向颁发证书的CA厂商申请证书,成功后,获得主证书和至少一个备用证书,或者是Web服务提供商将成功申请到的主证书和至少一个备用证书上传至独立的用于管理证书、监测证书状态的证书管理平台,管理平台100从Web服务提供商处获取到其源站服务器300对应的Web服务域名,从证书管理平台获取主证书和至少一个备用证书;然后根据该Web服务域名,生成与主证书对应的主证书配置文件和该Web服务域名的主证书域名别名,以及生成与每个备用证书对应的备用证书配置文件和该Web服务域名的备用证书域名别名;再该主证书和其对应的主证书配置文件发送至CDN的第一边缘设备810,将该备用证书和其对应的备用证书配置文件发送至该CDN的第二边缘设备820,以使第一边缘设备810在接收到用户通过终端发出的访问请求时,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手,及以使第二边缘设备820在接收到用户通过终端发出的访问请求时,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手。
一个可选实施例中,在管理平台100将该主证书和其对应的主证书配置文件发送至CDN的第一边缘设备810,将该备用证书和其对应的备用证书配置文件发送至该CDN的第二边缘设备820之前,该CDN的所有边缘设备800会被标记为两类标签,基于标签自动被划分为对应于该Web服务域名的主证书域名别名的第一边缘设备群组和对应于该Web服务域名的备用证书域名别名的第二边缘设备群组,其中,第一边缘设备群组和第二边缘设备群组分别是包含若干不同边缘设备及其IP地址信息的不同的边缘设备群组,多个第一边缘设备810组成第一边缘设备群组,多个第二边缘设备820组成第二边缘设备群组。比如,管理平台100将主证书域名别名和备用证书域名别名作为标签,通过资源管理模块自动将CDN的所有边缘设备800按标签进行分组管理,或者将标签信息发送至CDN的单独的资源管理平台,通过资源管理平台自动将CDN的所有边缘设备按标签进行分组管理,确定对应于该Web服务域名的主证书域名别名的由多个第一边缘设备810组成的第一边缘设备群组和对应于该Web服务域名的备用证书域名别名的由多个第二边缘设备820组成的第二边缘设备群组。
一个可选实施例例中,管理平台100还将主证书域名别名和备用证书域名别名发送至域名解析服务器200,或者通过Web服务提供商的源站服务器300将主证书域名别名和备用证书域名别名发送至域名解析服务器200。
继续在该实施例中,域名解析服务器200首先获取到Web服务域名对应的主证书域名别名和备用证书域名别名,并根据源站服务器300指示或者基于默认设置,首先将该主证书域名别名作为对应Web服务域名的别名记录,其中,该主证书域名别名对应提供该Web服务域名的主证书服务的第一边缘设备群组,其中,第一边缘设备群组由多个第一边缘设备810组成,在域名解析服务器200中存储的主证书域名别名对应所述多个第一边缘设备810的地址信息,该备用证书域名别名对应提供该Web服务域名的备用证书服务的第二边缘设备群组,其中,第二边缘设备群组由多个第二边缘设备820组成,在域名解析服务器200中存储的备用证书域名别名对应所述多个第二边缘设备820的IP地址信息。当监测到该Web服务域名的主证书的服务状态异常时,域名解析服务器200会收到相应的指示信息,从而会将该Web服务域名的别名记录由主证书域名别名修改为备用证书域名别名。而当监测到该Web服务域名的主证书的服务状态恢复正常时,域名解析服务器200会根据收到相应的指示信息,将该Web服务域名的别名记录恢复为主证书域名别名。其中,管理平台100的证书管理模块或者独立的证书管理平台可以对证书的服务状态进行监测,当主证书的服务状态发生变化时,会向管理平台100发送相关信息,管理平台100直接向域名解析服务器200发送相应的指示信息,或者通过源站服务器300向域名解析服务器200发送相应的指示信息。域名解析服务器200提供域名解析服务,当接收到终端发送的针对该Web服务域名的域名解析请求时,会根据该Web服务域名的别名记录进行域名解析处理,将该Web服务域名的别名记录的证书域名别名对应的边缘设备群组中最合适的一个边缘设备的IP地址信息返回,以使该边缘设备收到被调度的终端的访问请求时,使用对应证书配置文件以确定用于安全握手的证书,并使用该证书进行安全握手,当握手成功,向终端提供Web服务,例如,可以是返回与终端请求对应的请求内容。比如,当主证书的服务状态正常时,域名解析服务器200中的该Web服务域名的别名记录是主证书域名别名,对接收到的访问请求进行域名解析后向终端返回该主证书域名别名对应的最合适的一个第一边缘设备810的IP地址信息,以使该第一边缘设备810在收到终端的访问请求时,使用对应主证书配置文件以确定用于安全握手的证书,即主证书,并使用该主证书进行安全握手,当握手成功,该第一边缘设备810向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。若域名服务器200收到对应主证书的服务状态异常的指示时,会将解析的该Web服务域名的别名记录由原来的主证书域名别名修改为该备用证书域名别名,对接收到的访问请求进行域名解析后向终端返回该备用证书域名别名对应的最合适的一个第二边缘设备820的IP地址信息,以使该第二边缘设备820在收到终端的访问请求时,使用对应备用证书配置文件以确定用于安全握手的证书,即备用证书,并使用该备用证书进行安全握手,当握手成功,该第二边缘设备820向终端提供Web服务,例如可以是返回与终端请求对应的请求内容。
上述装置或系统的各个实施例中,装置各模块、系统各相关部分采用的方法步骤未提及之处与前述各个相关的方法实施例中相同,在此不再赘述。
根据本申请的又一方面,还提供了一种计算机可读介质,所述计算机可读介质存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现前述各方法实施例。
需要注意的是,本申请中各方法实施例可在软件和/或软件与硬件的组合体中被实施。本申请中涉及的软件程序可以通过处理器执行以实现上述各实施例的步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。
根据本申请的再一方面,还提供了一种提供Web服务的设备,该设备包括:存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备运行前述各实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件和/或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (16)
1.一种提供Web服务的方法,其特征在于,应用于管理平台,所述方法包括:
获取Web服务域名、主证书和至少一个备用证书;
生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名;
将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至第一边缘设备和第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
2.根据权利要求1所述的方法,其特征在于,在所述将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至第一边缘设备和第二边缘设备之前,还包括:
边缘设备被划分为对应于所述主证书域名别名的所述第一边缘设备和对应于所述备用证书域名别名的所述第二边缘设备。
3.根据权利要求1或2所述的方法,其特征在于,当所述主证书的服务状态正常时,终端的访问请求被调度至所述第一边缘设备;以及,当所述主证书的服务状态异常时,终端的访问请求被调度至所述第二边缘设备。
4.根据权利要求3所述的方法,其特征在于,所述主证书的服务状态异常包括以下之一:主证书过期、主证书失效、主证书被吊销。
5.一种提供Web服务的方法,其特征在于,应用于域名解析服务器,所述方法包括:
获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备;
当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名;
当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
6.根据权利要求5所述的方法,其特征在于,所述将所述Web服务域名的别名记录由所述主证书域名个别名修改为所述备用证书域名别名包括:
响应于域名解析服务器控制台或者域名解析服务器的API接口的别名记录修改操作,将Web服务域名的别名记录由原来的主证书域名别名修改为备用证书域名别名。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名;
当接收到终端针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名的所述第一边缘设备的地址信息,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手。
8.根据权利要求7所述的方法,其特征在于,所述将所述Web服务域名的别名记录恢复为所述主证书域名别名包括:
响应于域名解析服务器控制台或者域名解析服务器的API接口的别名记录修改操作,将所述Web服务域名的别名记录恢复为所述主证书域名别名。
9.一种提供Web服务的方法,其特征在于,应用于边缘设备,所述边缘设备包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,所述方法包括:
所述第一边缘设备接收管理平台下发的主证书和与所述主证书对应的主证书配置文件,所述第二边缘设备接收所述管理平台下发的备用证书和与所述备用证书对应的备用证书配置文件;
当所述第一边缘设备接收到终端的访问请求时,使用主证书进行安全握手,以及,当所述第二边缘设备在接收到终端的访问请求时,使用备用证书进行安全握手。
10.一种提供Web服务的装置,其特征在于,部署于管理平台,所述装置包括:
信息获取模块,用于获取Web服务域名、主证书和至少一个备用证书;
配置生成模块,用于生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名;
配置发送模块,用于将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至所述第一边缘设备和所述第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手。
11.一种提供Web服务的装置,其特征在于,部署于域名解析服务器,所述装置包括:
信息获取模块,用于获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备;
别名记录修改模块,用于当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名;
域名解析模块,用于当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名对应的所述第一边缘设备的地址信息,或者返回所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第一边缘设备或第二边缘设备在接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
12.根据权利要求11所述的装置,其特征在于,所述别名记录修改模块还用于:
当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名。
13.一种提供Web服务的装置,其特征在于,部署于边缘设备,所述边缘设备包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,所述装置包括:
配置接收模块,用于接收管理平台下发的主证书和/或备用证书,以及与所述主证书和所述备用证书分别对应的主证书配置文件和备用证书配置文件;
安全握手模块,用于当接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手。
14.一种提供Web服务的系统,其特征在于,所述系统包括:
管理平台,用于获取Web服务域名、主证书和至少一个备用证书,生成与所述主证书对应的主证书配置文件和所述Web服务域名的主证书域名别名,以及与所述备用证书对应的备用证书配置文件和所述Web服务域名的备用证书域名别名,并将所述主证书配置文件、所述主证书和所述备用证书配置文件、所述备用证书分别发送至所述第一边缘设备和所述第二边缘设备,以使所述第一边缘设备在接收到终端的访问请求时,使用所述主证书进行安全握手,及所述第二边缘设备在接收到终端的访问请求时,使用所述备用证书进行安全握手;
域名解析服务器,用于获取Web服务域名对应的主证书域名别名和备用证书域名别名,并将所述主证书域名别名作为所述Web服务域名的别名记录,其中,所述主证书域名别名对应提供所述Web服务域名的主证书服务的第一边缘设备,所述备用证书域名别名对应提供所述Web服务域名的备用证书服务的第二边缘设备,当所述Web服务域名的主证书的服务状态异常时,将所述Web服务域名的别名记录由所述主证书域名别名修改为所述备用证书域名别名,当所述Web服务域名的主证书的服务状态恢复正常时,将所述Web服务域名的别名记录恢复为所述主证书域名别名,以及当接收到终端发送的针对所述Web服务域名的域名解析请求,返回对应于所述主证书域名别名对应的所述第一边缘设备的地址信息,或者返回所述备用证书域名别名的所述第二边缘设备的地址信息,以使所述第一边缘设备或第二边缘设备在接收到终端的访问请求时,使用所述主证书或所述备用证书进行安全握手;
边缘设备,包括对应于Web服务域名的主证书域名别名的第一边缘设备和对应于Web服务域名的备用证书域名别名的第二边缘设备,其中,所述第一边缘设备用于接收所述管理平台下发的主证书和与所述主证书对应的主证书配置文件,所述第二边缘设备用于接收所述管理平台下发的备用证书和与所述备用证书对应的备用证书配置文件,当所述第一边缘设备接收到终端的访问请求时,使用所述主证书进行安全握手,当所述第二边缘设备接收到终端的访问请求时,使用所述备用证书进行安全握手。
15.一种计算机可读介质,其特征在于,
其上存储有计算机可读指令,所述计算机可读指令被处理器执行以实现如权利要求1至9中任一项所述的方法。
16.一种提供Web服务的设备,其特征在于,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如权利要求1至9中任一项所述方法的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210249043.8A CN116800441A (zh) | 2022-03-14 | 2022-03-14 | 一种提供Web服务的方法、装置、系统、存储介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210249043.8A CN116800441A (zh) | 2022-03-14 | 2022-03-14 | 一种提供Web服务的方法、装置、系统、存储介质及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116800441A true CN116800441A (zh) | 2023-09-22 |
Family
ID=88037333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210249043.8A Pending CN116800441A (zh) | 2022-03-14 | 2022-03-14 | 一种提供Web服务的方法、装置、系统、存储介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116800441A (zh) |
-
2022
- 2022-03-14 CN CN202210249043.8A patent/CN116800441A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10990605B2 (en) | Instance data replication | |
CN110138606B (zh) | 容器网络配置方法及系统 | |
CN110019104B (zh) | 文件资源交换方法、文件资源服务器及文件交换系统 | |
CN112035422B (zh) | 基于ipfs的分布式实时数据同步方法、节点设备及系统 | |
CN103455439A (zh) | 本地缓存装置以及用于提供内容缓存服务的系统和方法 | |
CN104660409A (zh) | 集群环境下系统登录的方法和认证服务器集群 | |
CN111338893A (zh) | 进程日志处理方法、装置、计算机设备以及存储介质 | |
CN108847952A (zh) | 请求链路上下文的处理方法、装置及系统 | |
CN103024020B (zh) | 基于web应用的网络数据文件存储方法及装置 | |
US20140129699A1 (en) | System and method for maintaining domain name service | |
CN109873855A (zh) | 一种基于区块链网络的资源获取方法和系统 | |
CN102170456A (zh) | 对等网络中获取内容的方法、装置和系统 | |
CN112825524B (zh) | 网络服务节点的确定方法、装置和系统 | |
CN115277727A (zh) | 一种数据灾备方法、系统、装置及存储介质 | |
CN113194099B (zh) | 一种数据代理方法及代理服务器 | |
CN111431957B (zh) | 文件处理方法、装置、设备和系统 | |
CN110011850B (zh) | 云计算系统中服务的管理方法和装置 | |
US8996607B1 (en) | Identity-based casting of network addresses | |
US11349718B2 (en) | Capacity bursting using a remote control plane | |
CN107547674A (zh) | 地址分配方法和装置 | |
CN116800441A (zh) | 一种提供Web服务的方法、装置、系统、存储介质及设备 | |
CN113810468B (zh) | K8s架构下网关分发请求的方法、系统、设备和存储介质 | |
CN107395416A (zh) | 一种数据发送方法及服务器集群 | |
CN106470248A (zh) | Dnssec签名服务的热备方法及系统 | |
CN112825515A (zh) | 一种对象统一存储服务平台使用方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |