JP2017537548A - 長期デジタル証明書の検証に基づく短期デジタル証明書の発行 - Google Patents

長期デジタル証明書の検証に基づく短期デジタル証明書の発行 Download PDF

Info

Publication number
JP2017537548A
JP2017537548A JP2017529776A JP2017529776A JP2017537548A JP 2017537548 A JP2017537548 A JP 2017537548A JP 2017529776 A JP2017529776 A JP 2017529776A JP 2017529776 A JP2017529776 A JP 2017529776A JP 2017537548 A JP2017537548 A JP 2017537548A
Authority
JP
Japan
Prior art keywords
digital certificate
entity
customer
term digital
long
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017529776A
Other languages
English (en)
Other versions
JP6533292B2 (ja
Inventor
ザチャリー ボウェン、ピーター
ザチャリー ボウェン、ピーター
Original Assignee
アマゾン・テクノロジーズ、インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アマゾン・テクノロジーズ、インコーポレイテッド filed Critical アマゾン・テクノロジーズ、インコーポレイテッド
Publication of JP2017537548A publication Critical patent/JP2017537548A/ja
Application granted granted Critical
Publication of JP6533292B2 publication Critical patent/JP6533292B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

証明機関サービスは、エンティティとサービスとの間の検証目的のための長期デジタル証明書を発行するためのリクエストをエンティティから受信する。長期デジタル証明書の発行時に、エンティティは、長期デジタル証明書よりも短い有効期間を含む短期デジタル証明書を発行するためのリクエストをサービスに提示する。サービスは、長期デジタル証明書を利用してエンティティを検証し、エンティティを検証すると、短期デジタル証明書をエンティティに発行することができる。エンティティは、その後、ユーザクライアントが、エンティティを認証し、エンティティと安全に通信できるように、短期デジタル証明書を利用することができる。

Description

[関連出願の相互参照]
本願は、2014年12月15日に出願された「SHORT−DURATION DIGITAL CERTIFICATE ISSUANCE BASED ON LONG−DURATION DIGITAL CERTIFICATE VALIDATION」と題された同時係属の米国特許出願第14/570,867号からの優先権を主張し、その内容全体を参照により本明細書に組み込む。
証明機関は、通常、カスタマが他のエンティティとの安全な通信を確立でき、かつこれらの他のエンティティがこれらのカスタマを認証できるデジタル証明書をカスタマに発行する。デジタル証明書をカスタマに発行するために、証明機関は、政府データベース、第三者データベース及びサービスを調査するならびに他のカスタマ技術によって、カスタマに関する情報を検証する必要があり得る。カスタマに関する情報を証明機関が検証できる場合には、証明機関は、デジタル証明書を生成してカスタマに発行することができる。しかしながら、そのような検証技術は、時間及び資源について大規模な活動であり得る。故に、複数のデジタル証明書についてのリクエストは、これらのデジタル証明書を取得するのに必要な費用及び時間が相当量になり得るので、望ましくない場合がある。
本開示に従うさまざまな実施形態を、図面を参照して記載する。
さまざまな実施形態を実施できる環境の例証となる実施例を示す。 少なくとも一つの実施形態に従う、証明機関サービスのさまざまな構成要素が集合的に長期デジタル証明書及び短期デジタル証明書をカスタマに発行するように構成された環境の例証となる実施例を示す。 少なくとも一つの実施形態に従う、証明機関サービスが有効な長期デジタル証明書の受信時に短期デジタル証明書をカスタマに発行する環境の例証となる実施例を示す。 少なくとも一つの実施形態に従う、ユーザクライアントがカスタマサーバから受信した長期デジタル証明書を拒否する環境の例証となる実施例を示す。 少なくとも一つの実施形態に従う、ユーザクライアントがカスタマサーバから受信した短期デジタル証明書を利用してカスタマサーバを認証できる環境の例証となる実施例を示す。 少なくとも一つの実施形態に従う、長期デジタル証明書及び短期デジタル証明書を証明機関サービスから受信するためのプロセスの例証となる実施例を示す。 少なくとも一つの実施形態に従う、長期デジタル証明書を発行するためのカスタマリクエストに応答して、長期デジタル証明書を生成して発行するためのプロセスの例証となる実施例を示す。 少なくとも一つの実施形態に従う、カスタマリクエストに応答して、長期デジタル証明書を利用してカスタマを認証して一つ以上の短期デジタル証明書を発行するためのプロセスの例証となる実施例を示す。 少なくとも一つの実施形態に従う、デジタル証明書を利用してカスタマサーバを認証するためのプロセスの例証となる実施例を示す。 さまざまな実施形態を実施できる環境の例証となる実施例を示す。
以下の記載においてさまざまな実施形態を記載する。説明を目的として、実施形態の徹底的な理解を提供するために、具体的な構成及び詳細を説明する。しかしながら、具体的な詳細がなくても実施形態を実践できることも当業者に明らかである。さらに、記載されている実施形態を曖昧にしないために、周知の特徴は省略または簡略化することがある。
本明細書に記載及び提案される技術は、サーバ認証のための短期デジタル証明書をリクエスト及び取得するのに利用できる長期証明書の発行に関する。実施形態において、エンティティ(例えば、組織のコンピューティングデバイス)は、長期デジタル証明書の発行をリクエストするために、サービスを対象とする一つ以上のアプリケーションプログラミングインターフェース(API)コールなどを通じて、証明機関サービスと通信する。エンティティは、さまざまなカスタマが他のエンティティとの安全な通信チャネルを確立でき、かつこれらの他のエンティティが発行されたデジタル証明書の使用を通じてこれらのさまざまなカスタマを認証できるデジタル証明書をこれらのさまざまなカスタマに発行するように構成できる証明機関サービスのこれらのカスタマに関連付くことができる。長期デジタル証明書は、(例えば、1年以上の)長い有効期間をもって発行でき、そして重大としてマークできる拡張子を含むことができる。この重大な拡張子は、ユーザクライアントが重大な拡張子を認識できないように構成されるまたはこの重大な拡張子を拒否するように構成できるので、これらのユーザクライアント(例えば、ユーザコンピューティングデバイスにインストールされたブラウザアプリケーション)がこの長期デジタル証明書を承認することを阻止することができる。
証明機関サービスがエンティティを検証して長期デジタル証明書をエンティティに発行できることを保証すると、証明機関サービスは、この長期証明書をエンティティまたはエンティティのサーバに発行することができる。エンティティは、長期デジタル証明書の受信時に、ユーザクライアントとの安全な通信チャネルを確立するのに利用できる短期デジタル証明書をリクエストすることができる。例として、実施形態において、証明機関サービスは、エンティティから、長期デジタル証明書、及び短期デジタル証明書を発行するためのリクエストを受信する。証明機関サービスは、エンティティを認証するために長期デジタル証明書内の規定の情報を確認し、確認すると、短期デジタル証明書をエンティティに発行することができる。短期デジタル証明書は、長期デジタル証明書よりも短い有効期間(例えば、数日、数カ月など)を有することができる。さらに、証明機関サービスは、長期デジタル証明書の残存有効期間に基づいてこの有効期間を決定することができる。例えば、長期デジタル証明書についての残存有効期間が3カ月である場合には、証明機関サービスは、3カ月を超えない有効期間をもつ短期デジタル証明書を発行することができる。
実施形態において、エンティティが証明機関サービスから短期デジタル証明書を取得すると、エンティティは、安全な通信チャネルを確立するためのこの短期デジタル証明書をユーザクライアントに提供することができる。ユーザクライアントは、短期デジタル証明書の受信時に、短期デジタル証明書の評価を通じてエンティティの身元を確認し、そして証明機関サービスから取得した公開暗号鍵の使用を通じて短期デジタル証明書内に含まれるデジタル署名を確認することができる。これによりユーザクライアントは、短期デジタル証明書が、証明機関サービスによって発行されたものであり、故に、有効であることを確認することができる。この短期デジタル証明書の利用によって、ユーザクライアントは、エンティティの公開暗号鍵を取得し、この公開暗号鍵を利用して、データを暗号化して安全な通信チャネルを通じてエンティティに伝送することができる。
このようにして、エンティティは、各短期デジタル証明書の発行前に実行される大規模な検証プロセスの必要なく、以前に発行された長期デジタル証明書に基づいて、証明機関サービスから複数の短期デジタル証明書を取得することができる。加えて、本明細書に記載及び提案される技術は、追加の技術的利点を促進する。例えば、いくつかの実施形態では、ユーザクライアントが認識できないか、かつ/またはユーザクライアントに長期デジタル証明書を拒否させる拡張子を長期デジタル証明書が含むので、長期デジタル証明書が信用できないとされた事象時に、エンティティが新規の長期デジタル証明書の発行を無効及びリクエストする必要をもはやなくすことができる。さらに、短期デジタル証明書が信用できないとされた場合に、エンティティは、この短期デジタル証明書を無効にし、検証プロセス全体をもう一度行う必要なく、発行された長期デジタル証明書を利用して証明機関サービスから新規の短期デジタル証明書を取得することができる。
図1は、さまざまな実施形態を実施できる環境100の例証となる実施例を示す。環境100において、証明機関サービス102は、カスタマによる公開暗号鍵(例えば、デジタル証明書内で識別されるような、名付けられたサブジェクト)の所有を証明できる一つ以上のデジタル証明書の発行を証明機関サービス102のカスタマがリクエストできる証明機関システムを提供できる。これらの一つ以上のデジタル証明書によって、ユーザクライアント106などの他のエンティティ(例えば、ブラウザアプリケーション)が、カスタマの身元を確認し、カスタマとの安全な通信チャネルを確立することによって暗号化された及び暗号化されていないデータを伝送することができる。実施形態において、証明機関サービス102は、長期デジタル証明書が未だ有効である限り、後に短期デジタル証明書を発行するために利用できる長期デジタル証明書についてのリクエストをカスタマから受信する。
証明機関サービス102は、長期証明書を発行するためのリクエストをカスタマから受信すると、カスタマが信用でき、かつ証明機関サービス102からデジタル証明書を取得する権限をカスタマに与えることを保証するための一つ以上の検証プロセスを実行することができる。例として、証明機関サービス102は、一つ以上の政府機関、第三者データベースまたは任意の他の信用がある情報リポジトリにアクセスしてカスタマを評価し、カスタマがそう称する者であり、かつカスタマがデジタル証明書について適切に吟味されたことを保証することができる。カスタマが証明機関サービス102によって適切に吟味された場合には、証明機関サービス102は、より短い期限の短期デジタル証明書を取得するのに使用される長期デジタル証明書をカスタマに発行することができる。いくつかの実施形態では、長期デジタル証明書は、デジタル証明書の発行者、証明書についての有効期間、サブジェクト(例えば、カスタマ)、サブジェクトの公開暗号鍵、及び証明機関サービス102のデジタル署名を規定できるX.509証明書である。しかしながら、この長期デジタル証明書は、さらに、長期デジタル証明書が検証目的のみのために利用されることを表すことができる重大な拡張子を規定することができる。この重大な拡張子は、いくつかのユーザクライアント106には認識されず、結果として、これらのユーザクライアント106によって自動的に拒否され得る。あるいは、ユーザクライアント106は、この重大な拡張子を含むあらゆるデジタル証明書を拒否するように構成できる。
カスタマがこの長期デジタル証明書を証明機関サービス102から受信すると、カスタマは、一つ以上のカスタマサーバ104を通じて、ユーザクライアント106との安全な通信チャネルを確立するのに使用可能であり、かつユーザクライアント106がカスタマサーバ104を認証できる一つ以上の短期デジタル証明書を取得するためのリクエストを証明機関サービス102に提示することができる。証明機関サービス102へのリクエストは、前述の長期デジタル証明書を含むことができる。一つ以上のカスタマサーバ104からリクエストを受信すると、証明機関サービス102は、長期デジタル証明書を評価して、カスタマの身元を確認し、長期デジタル証明書が未だ有効であることを保証できる。実施形態において、リクエストは、証明機関サービス102が長期デジタル証明書を最初に発行したのと同じエンティティに証明機関サービス102が一つ以上の短期デジタル証明書を発行していることを確実にするために、長期デジタル証明書内に規定された公開暗号鍵に対応するカスタマの秘密暗号鍵を使用してデジタル署名されたものであっても良い。証明機関サービス102は、長期デジタル証明書の公開暗号鍵を使用してデジタル署名を確認することができる。
証明機関サービス102は、リクエストを提供したカスタマの身元を確認すると、長期デジタル証明書を評価して、このデジタル証明書についての残存有効期間を決定することができる。証明機関サービス102は、この情報を利用して、一つ以上の短期デジタル証明書内に規定であり得る有効期間を確立することができる。例として、長期デジタル証明書についての残存有効期間が3カ月である場合には、証明機関サービス102は、長期デジタル証明書において規定された残存3カ月期間を超えない有効期間を有する短期デジタル証明書を発行することができる。あるいは、カスタマは、リクエストを通じて、提供された長期デジタル証明書の残存有効期間を所望の有効期間が超えない限り、短期デジタル証明書についての所望の有効期間を指定することができる。
証明機関サービス102は、長期デジタル証明書内に規定されたのと同じ公開暗号鍵を含むように短期デジタル証明書を生成することもできる。これにより短期デジタル証明書が長期デジタル証明書についてのプロキシとしての機能を果たし、ユーザクライアント106または他のエンティティにアクセスできるようにすることができる。例として、長期デジタル証明書は、スマートカード、バッジ、または長期デジタル証明書内に格納できた他のデバイスなどの物理的実装を通じてカスタマに発行することができる。カスタマは、リモート位置において、コンピューティングデバイスを通じてスマートカード、バッジまたは他のデバイスを証明機関サービス102に提示することができる。スマートカードまたは他のデバイス内の長期デジタル証明書の解析に少なくともある程度基づいて、より短い期間有効であり得る短期デジタル証明書をカスタマに発行することができる。これによりカスタマは、リモート位置において自身の時間の間のみ有効であり得る、この新規に発行された短期デジタル証明書を利用してこのリモート位置においてアクセスすることができる。代替的な実施形態において、短期デジタル証明書は、さらに、長期デジタル証明書内に規定されたものとは異なるカスタマ暗号鍵を規定することができる。これによりカスタマは、長期デジタル証明書内の規定のカスタマ暗号鍵を公開することなく、信用できない場合に短期デジタル証明書を無効にすることができる。
カスタマが一つ以上のカスタマサーバ104を通じて一つ以上の短期デジタル証明書を証明機関サービス102から受信すると、カスタマサーバ104は、ここで、受信した一つ以上の短期デジタル証明書とともにデータを一つ以上のユーザクライアント106に伝送することができる。ユーザクライアント106は、一つ以上の短期デジタル証明書内の規定の証明機関サービス102のデジタル署名を確認するのに使用できる暗号鍵ペアの公開暗号鍵を証明機関サービス102から取得することができる。証明機関サービス102のデジタル署名が本物であると確認された場合には、ユーザクライアント106は、一つ以上の短期デジタル証明書が有効であることを決定し、故に、これらを使用して一つ以上のカスタマサーバ104の身元を確認し、確認された場合に、短期デジタル証明書内の規定のカスタマの公開暗号鍵を利用することができる。例として、デジタル署名された(例えば、カスタマの秘密暗号鍵を利用した)データをユーザクライアント106に伝送するのにカスタマサーバ104が利用される場合には、ユーザクライアント106は、短期デジタル証明書内に規定されたものとしてカスタマの公開暗号鍵を利用して、カスタマのデジタル署名を確認して、伝送されたデータが有効であるか否かを決定することができる。故に、ユーザクライアント106は、カスタマサーバ104に安全に情報を伝送するのに利用できる。
前述したように、カスタマは、証明機関サービスと通信して、短期デジタル証明書の取得において検証目的に利用できる長期デジタル証明書の発行をリクエストすることができる。さらに、カスタマは、一つ以上のカスタマサーバを通じて、証明機関サービスから、その後にユーザクライアントが一つ以上のカスタマサーバを認証するのに使用できるこれらの短期デジタル証明書をリクエストすることができる。これらの短期デジタル証明書についてのリクエストは、証明機関サービスがカスタマを認証するのに利用できる長期デジタル証明書を含むことができる。それに応じて、図2は、少なくとも一つの実施形態に従う、証明機関サービス202のさまざまな構成要素が集合的に長期デジタル証明書及び短期デジタル証明書をカスタマ212に発行するように構成された環境200の例証となる実施例を示す。
証明機関サービス202は、カスタマ212が証明機関サービス202にアクセスできるインターフェース204をこれらのカスタマ212に提供することができる。カスタマ212は、インターネットなどの一つ以上の通信ネットワークを通じてインターフェース204を利用することができる。インターフェース204は、カスタマ212が証明機関サービス202にアクセスする権限を有することを保証する特定のセキュリティセーフガードを含むことができる。例として、証明機関サービス202にアクセスするために、カスタマは、インターフェース204を使用するときにユーザ名及び対応するパスワードまたはエンクリプションキーを提供する必要があり得る。加えて、インターフェース204に提示されたリクエスト(例えば、APIコール)は、権限付与システム(図示せず)などの証明機関サービス202によって電子署名を確認可能なように、暗号鍵を使用して生成された電子署名を要求する場合がある。
インターフェース204を通じて、カスタマ212は、長期デジタル証明書を発行するためのリクエストを一つ以上のカスタマ212サーバに提示することができる。前述したように、後に、証明機関サービス202が、カスタマ212を認証し、短期デジタル証明書をカスタマ212サーバに発行できる長期デジタル証明書を利用することができる。長期デジタル証明書を発行するためのリクエストは、例えば、カスタマ212の名前、住所、収入情報などのカスタマ212に関する情報を含むことができる。さらに、インターフェース204を通じて、カスタマ212は、その後長期デジタル証明書内に規定され得る、長期デジタル証明書についての有効期間を規定することができる。
長期デジタル証明書を発行するためのカスタマ212のリクエストを証明機関サービス202が受信すると、インターフェース204は、リクエストを処理し、カスタマ212に長期デジタル証明書が発行できるか否かを決定するように構成できる管理サブシステム206にリクエストを伝送することができる。例として、管理サブシステム206は、政府機関データベース及び他の第三者データベースにアクセスして、リクエストとともに提供されたカスタマ212情報に少なくともある程度基づいて、カスタマ212に長期デジタル証明書が発行できるか否かを決定するように構成できる。例えば、管理サブシステム206が第三者データベース内の規定の情報に少なくともある程度基づいてカスタマ212が信用できないことを決定した場合には、管理サブシステム206は、長期デジタル証明書についてのカスタマ212のリクエストを拒絶することができる。カスタマ212に長期デジタル証明書を発行できることを管理サブシステム206が決定した場合には、管理サブシステム206は、カスタマ212の情報をカスタマプロファイルリポジトリ210内に保存することができる。さらに、管理サブシステム206は、証明書データストア208にアクセスして、長期デジタル証明書を生成するのに利用できる証明書テンプレートを取得することができる。例として、管理サブシステム206は、証明書データストア208からX.509デジタル証明書テンプレートを取得し、このテンプレートを利用してカスタマ212についての長期X.509デジタル証明書を生成することができる。管理サブシステム206は、インターフェース204を通じて、新規に生成された長期デジタル証明書をカスタマ212に提供することができる。
実施形態において、管理サブシステム206は、長期デジタル証明書内に、ユーザクライアントが認識できないまたはユーザクライアントによって拒否され得る重大な拡張子を規定する。例として、重大な拡張子は、カスタマ212を認証するためにデジタル証明書を利用できないことをユーザクライアントに信号で送ることができる「検証のみ」拡張子であっても良い。この重大な拡張子は、検証を実行した日付、カスタマ212検証に使用された基準もしくは要件、及び/または検証が実行された、証明機関サービス202のカスタマ212の識別子などのカスタマ212を認証するために実行された一つ以上の検証についての情報を含むことができる。
後に、カスタマ212は、一つ以上のカスタマ212サーバを通じて、インターフェース204に再度アクセスし、ユーザクライアントとの安全な通信チャネルを確立し、かつユーザクライアントがカスタマ212を認証するのに使用できる一つ以上の短期デジタル証明書の作製をリクエストすることができる。リクエストは、カスタマ212に以前に発行された長期デジタル証明書を含むことができる。さらに、いくつかの実施形態では、リクエストは、最初の長期デジタル証明書内の規定の公開暗号鍵に対応し得る、カスタマ212の秘密暗号鍵を使用してカスタマ212によってデジタル署名することができる。リクエストの受信時に、管理サブシステム206は、長期デジタル証明書を評価して、長期デジタル証明書についての残存有効期間を決定することができる。例として、長期デジタル証明書は、長期デジタル証明書についての開始日及び満期日を規定する有効期間フィールドを含むことができる。指定の満期日に少なくともある程度基づいて、管理サブシステム206は、長期デジタル証明書についての残存有効期間を計算することができる。
加えて、リクエストがカスタマ212によってデジタル署名されている場合には、管理サブシステム206は、カスタマプロファイルリポジトリ210にアクセスして、リクエストに含まれるデジタル署名を確認し、受信したリクエストが有効であることを保証するのに使用できる、この特定のカスタマ212に対応する暗号鍵を取得することができる。管理サブシステム206が長期デジタル証明書内の規定の情報に少なくともある程度基づいてカスタマ212がそう称する者であることを決定した場合には、管理サブシステム206は、証明書データストア208にアクセスして、リクエストされた一つ以上の短期デジタル証明書を生成するのに使用できるデジタル証明書テンプレートを取得することができる。一つ以上の短期デジタル証明書は、特定の規定の情報を除いて、長期デジタル証明書と同様のものであっても良い。例として、短期デジタル証明書は、長期デジタル証明書についての残存有効期間以下の有効期間を指定することができる。例として、長期デジタル証明書についての残存有効期間が3カ月である場合には、管理サブシステム206は、短期デジタル証明書内において、短期デジタル証明書についての有効期間を3カ月以下の任意の値に指定することができる。故に、短期デジタル証明書についての満期日は、長期デジタル証明書の満期日と一致しても良いし、長期デジタル証明書の満期日より早くても良い。
さらに、短期デジタル証明書は、長期デジタル証明書内の規定の重大な拡張子を含まなくても良い。これによりユーザクライアントは、短期デジタル証明書を利用してカスタマ212を認証し、かつユーザクライアントは、カスタマ212と安全に通信することができる。いくつかの実施形態では、管理サブシステム206は、最初の、長期デジタル証明書内の規定の暗号鍵の代わりとなるカスタマ212暗号鍵を規定する短期デジタル証明書を生成することができる。これは、長期デジタル証明書、故に、最初のカスタマ212暗号鍵が、短期デジタル証明書の違反の結果として信用できなくなり得る可能性の減少を支援することができる。
管理サブシステム206がカスタマ212リクエストに応答して一つ以上の短期デジタル証明書を生成すると、管理サブシステム206は、カスタマプロファイルリポジトリ210内のカスタマ212のプロファイルにアクセスして、発行された短期デジタル証明書の数、対応するカスタマ212暗号鍵、及び後にカスタマ212に代わってデジタル証明書を生成するのに有用となり得る任意の他の情報を特定することができる。管理サブシステム206は、インターフェース204を通じて、これらの短期デジタル証明書をユーザクライアントに提供できるカスタマ212にこれらの短期デジタル証明書を発行し、これによりこれらのユーザクライアントは、カスタマ212を認証し、安全な通信チャネルを通じてデータを安全にカスタマ212に伝送できる。さらに、これらの短期デジタル証明書によって、カスタマ212は、自身のデータをデジタル署名し、ユーザクライアントに伝送されるデータを暗号化することができる。
前述したように、カスタマは、以前に発行された長期デジタル証明書を含むリクエストを証明機関サービスに伝送して、ユーザクライアントが短期デジタル証明書を利用してカスタマを認証できるような、これらのユーザクライアントに伝送できる一つ以上の短期デジタル証明書を取得することができる。それに応じて、図3は、少なくとも一つの実施形態に従う、証明機関サービス304が有効な長期デジタル証明書306の受信時に短期デジタル証明書308をカスタマ302に発行する環境300の例証となる実施例を示す。環境300において、カスタマ302は、一つ以上の短期デジタル証明書308を発行するための証明機関サービス304へのリクエストの一部として、証明機関サービス304によってカスタマ302に以前に発行された長期デジタル証明書306を提供することができる。前述したように、長期デジタル証明書306は、開始日(例えば、図3に例証するような「以後」フィールド)、及び満期日(例えば、図3に例証するような「以前」フィールド)を含むことができる有効期間を規定することができる。この有効期間は、長期デジタル証明書306が有効である継続期間を規定することができる。さらに、この有効期間によって、証明機関サービス304は、長期デジタル証明書306についての残存有効期間を決定できる。例として、証明機関サービス304は、満期日ならびに当日の日付及び時刻を利用して、長期デジタル証明書306についての残存有効期間を計算することができる。
長期デジタル証明書306は、ユーザクライアントがカスタマ302を認証するために長期デジタル証明書306を使用することを阻止するために利用できる重大な拡張子も含むことができる。例として、図3に例証するように、長期デジタル証明書306は、識別子「検証のみ タイプ−1.01」をもつ拡張子を規定することができる。この特定の拡張子は、ユーザクライアントが、重大な拡張子を認識しない場合に、長期デジタル証明書306を拒否しなければならないことを意味する重大としてマークすることができる。さらに、ユーザクライアントがこの重大な拡張子を認識するように更新されるときには、ユーザクライアントは、この重大な拡張子を含む任意の長期デジタル証明書306を承認しないように構成できる。故に、カスタマ302は、その身元を、この長期デジタル証明書306を簡単に利用するユーザクライアントにアサートすることはできない。
前述したように、一つ以上の短期デジタル証明書308を取得するためのリクエストをカスタマ302が証明機関サービス304に提示するときには、カスタマ302は、以前に発行された長期デジタル証明書306を証明機関サービス304に提供することができる。証明機関サービス304は、長期デジタル証明書306を評価して、長期デジタル証明書306が未だ有効であることを保証することができる。さらに、証明機関サービス304は、一つ以上のサブジェクトフィールド(図示せず)を評価して、カスタマ302がそう称する者であることを確認することができる。例として、一つ以上のサブジェクトフィールドは、カスタマ302の所与の名及び姓、カスタマ302の組織名及び/または部署、組織が位置し得る州、省及び国、カスタマ302についてのコモンネーム(例えば、URL)、または他のエンティティなどを規定することができる。実施形態において、カスタマ302は、短期デジタル証明書308が、長期デジタル証明書306を発行したのと同じカスタマ302に発行することを確実にするために、長期デジタル証明書306内に含まれる暗号鍵を利用して証明機関サービス304へのリクエストをデジタル署名する。
証明機関サービス304が長期デジタル証明書306の使用を通じてカスタマ302を認証すると、証明機関サービス304は、一つ以上の短期デジタル証明書308を生成してカスタマ302に発行することができる。これらの一つ以上の短期デジタル証明書308は、少しの代わりのエントリを除いて、長期デジタル証明書306と同様のものであっても良い。例として、図3に例証するように、短期デジタル証明書308についての有効期間は、長期デジタル証明書306内の規定の有効期間よりも短い。例えば、証明機関サービス304は、短期デジタル証明書308が生成された日付と等しい開始日を規定することができる。あるいは、短期デジタル証明書308についての開始日は、カスタマ302への短期デジタル証明書308の発行の日付よりも遅く、かつ長期デジタル証明書306内の規定の満期日よりも前の日付として規定することができる。
実施形態において、短期デジタル証明書308は、カスタマ302または長期デジタル証明書306の同じサブジェクトフィールド内の規定の他のエンティティに特有の少なくとも一つのサブジェクトフィールドを含むように生成される。例として、短期デジタル証明書308は、長期デジタル証明書306内の規定のものとして、同じ組織名、組織位置(例えば、州、省、国)、及びコモンネーム(例えば、URL)を規定することができる。いくつかの実施形態では、短期デジタル証明書308は、さらに、長期デジタル証明書306内に規定されていない追加のサブジェクトフィールドを含むことができる。例として、短期デジタル証明書308は、これらの追加のサブジェクトフィールドの一つ以上を通じて、短期デジタル証明書308が生成されたカスタマ302に関連付けられた委託されたエンティティの身元を特定することができる。加えて、短期デジタル証明書308内に含まれる一つ以上の追加のサブジェクトフィールドは、短期デジタル証明書308を利用できる第二の位置(例えば、州、省、国)を規定することができる。
短期デジタル証明書308の満期日は、長期デジタル証明書306内の規定の満期日及び/またはカスタマ302リクエストに少なくともある程度基づいて、証明機関サービス304によって規定することができる。例として、図3に例証するように、短期デジタル証明書308内の規定の満期日は、長期デジタル証明書306内の規定の満期データよりも早い。短期デジタル証明書308についての有効期間は、短期デジタル証明書308についての有効期間が長期デジタル証明書306についての残存有効期間を超えない限り、証明機関サービス304またはリクエストを通じてカスタマ302によって規定することができる。
短期デジタル証明書308は、ユーザクライアントによるデジタル証明書の使用を阻止する、長期デジタル証明書306内に含まれる重大な拡張子を含まなくても良い。例として、図3に例証するように、短期デジタル証明書308は、拡張子「検証のみ タイプ−1.01」を含まない。代わりに、短期デジタル証明書308内の規定の拡張子によって、ユーザクライアントは、カスタマ302を認証する及び他の目的(例えば、データ検証、データ復号など)のために、短期デジタル証明書308を利用することができる。短期デジタル証明書308が満期になるときに、カスタマ302は、長期デジタル証明書306とともにリクエストを証明機関サービス304に再度提示して、新規の短期デジタル証明書306を取得することができる。
前述したように、証明機関サービスによってカスタマに発行された長期デジタル証明書は、自身の身元のカスタマのアサーションの信頼性の確認に利用することができない。例として、長期デジタル証明書は、一つ以上のユーザクライアントが認識できないまたはカスタマ認証のために長期デジタル証明書を承認できないことをこれらの一つ以上のユーザクライアントに指し示すことができる重大な拡張子を含むことができる。それに応じて、図4は、少なくとも一つの実施形態に従う、ユーザクライアント404がカスタマサーバ402から受信した長期デジタル証明書406を拒否する環境400の例証となる実施例を示す。
長期デジタル証明書406は、正規のデジタル証明書に含まれるのと同様のフィールドの多くを含むことができる。例として、長期デジタル証明書406は、証明書についての有効期間、長期デジタル証明書406が発行されたカスタマ、カスタマ暗号鍵、及び長期デジタル証明書406が有効であることを確認するのに使用できる証明機関サービスデジタル署名を規定することができる。しかしながら、長期デジタル証明書406は、長期デジタル証明書406が検証のみのためであることを規定するのに利用できる一つ以上の重大な拡張子を含むことができる。例として、図4に例証するように、長期デジタル証明書406は、識別子「検証のみ タイプ−1.01」をもつ拡張子を規定することができる。この特定の拡張子は、ユーザクライアント404が、重大な拡張子を認識しない場合に、長期デジタル証明書406を拒否しなければならないことを意味する重大としてマークすることができる。さらに、ユーザクライアント404がこの重大な拡張子を認識するように更新されるときには、ユーザクライアント404は、この重大な拡張子を含む任意の長期デジタル証明書406を承認しないように構成できる。
ユーザクライアント404がカスタマサーバ402からこの長期デジタル証明書406を受信する場合には、ユーザクライアント404は、カスタマサーバ402から受信したデータを破棄し、カスタマサーバ402との通信チャネルを終了させることができる。故に、カスタマは、証明機関サービスと連動して、検証目的のみのために長期デジタル証明書406を利用することが可能になる。さらに、これは、長期デジタル証明書406の広範な聴衆への公開を限定することによって、長期デジタル証明書406、それ故に、カスタマの公開暗号鍵が信用できないことがあるという潜在的なリスクを減少することができる。
前述したように、カスタマは、一つ以上のカスタマサーバを通じて、証明機関サービスから一つ以上の短期デジタル証明書をリクエストすることができる。リクエストは、証明機関サービスが、カスタマを認証し、かつ長期デジタル証明書内の規定の情報を利用して、カスタマに発行される一つ以上の短期デジタル証明書についての有効期間を規定することができる長期デジタル証明書を含むことができる。これらの一つ以上の短期デジタル証明書は、自身の身元をユーザクライアントにアサートし、ユーザクライアントがカスタマを認証できるようにカスタマによって利用することができる。それに応じて、図5は、少なくとも一つの実施形態に従う、ユーザクライアント504がカスタマサーバ502から受信した短期デジタル証明書506を利用してカスタマサーバ502を認証できる環境500の例証となる実施例を示す。ユーザクライアント504及びカスタマサーバ502は、図4に例証したユーザクライアント及びカスタマサーバと同様のものであっても良い。
環境500において、カスタマサーバ502は、データ及び短期デジタル証明書506をユーザクライアント504に伝送することができる。ユーザクライアント504は、ユーザが相互作用してカスタマサーバ502にアクセスできるブラウザアプリケーションであっても良い。ユーザクライアント504がカスタマサーバ502との通信を開始したときに、カスタマサーバ502は、特定のデータ及び短期デジタル証明書506をユーザクライアント504に提供することによって応答することができる。短期デジタル証明書506は、カスタマの身元、短期デジタル証明書506についての有効期間、カスタマ公開暗号鍵、及びカスタマサーバ502に短期デジタル証明書を発行した証明機関サービスデジタル署名を規定することができる。この情報に加えて、短期デジタル証明書506は、短期デジタル証明書506が特定の目的のために利用され得ることを規定するのに使用できる一つ以上の拡張子を規定することができる。例として、図5に例証するように、短期デジタル証明書506は、証明書チェーンについての経路長を制限するのに使用できる「基本制約」拡張子を含むことができる。「基本制約」拡張子が例証目的のために本開示の全体を通じて広く使用されるが、追加の及び/または代替的な拡張子を短期デジタル証明書506内に規定することができる。
しかしながら、図4に例証した長期デジタル証明書とは対照的に、短期デジタル証明書506は、図4に例証した長期デジタル証明書内の規定の「検証のみ タイプ−1.01」拡張子などの重大な「検証のみ」拡張子を規定しなくても良い。故に、短期デジタル証明書506は、ユーザクライアント504によって認識でき、ユーザクライアント504は、短期デジタル証明書506を利用してカスタマサーバ502を認証し、証明機関サービスの公開暗号鍵の使用を通じて、短期デジタル証明書506内の規定の証明機関サービスデジタル署名を検証することができる。故に、ユーザクライアント504が、カスタマサーバ502を認証し、短期デジタル証明書506が有効であることを確認できる場合には、ユーザクライアント504は、安全な通信チャネルを通じたカスタマサーバ502とのさらなる通信に携わることができる。
前述したように、カスタマは、カスタマと証明機関サービスとの間の検証目的のみのために利用できる長期デジタル証明書の発行をリクエストするためのリクエストを証明機関サービスに提示することができる。さらに、長期デジタル証明書がカスタマに発行されると、カスタマは、カスタマを認証してカスタマとこれらのユーザクライアントとの間の安全な通信を可能にするためにユーザクライアントによって使用できる一つ以上の短期デジタル証明書を発行するための新規のリクエストを証明機関サービスに提示することができる。一つ以上の短期デジタル証明書を発行するための新規のリクエストは、前述の証明機関サービスが、カスタマを認証し、かつ短期デジタル証明書のパラメータを規定するのに必須の情報を取得するのに利用できる長期デジタル証明書を含むことができる。それに応じて、図6は、少なくとも一つの実施形態に従う、長期デジタル証明書及び短期デジタル証明書を証明機関サービスから受信するためのプロセス600の例証となる実施例を示す。プロセス600は、カスタマと証明機関サービスとの間の通信を可能にするように構成できる一つ以上のカスタマサーバを通じて、カスタマによって実行することができる。
長期デジタル証明書をカスタマが取得するために、カスタマは、証明機関サービスが、それを利用して、長期デジタル証明書を委託できる信用できるエンティティとしてカスタマを適切に吟味できる特定の情報を証明機関サービスに提供する必要があり得る。例として、証明機関サービスは、政府機関、信用がある第三者データベース及び他の信用がある情報リポジトリによって維持される一つ以上のデータベースにアクセスし、カスタマが信用できるか否かを決定することができる。故に、カスタマは、長期証明書を取得するために、一つ以上の証明機関サービス検証要件を満たす必要があり得る(602)。
カスタマが証明機関サービス検証要件を満たすことができる場合には、証明機関サービスは、長期デジタル証明書を生成することができる。この長期デジタル証明書は、長い有効期間(例えば、1年以上)及び長期デジタル証明書が証明機関サービスによって検証目的のみに使用できることを規定できる特定の重大な拡張子を規定することができる。故に、長期デジタル証明書は、この特定の重大な拡張子を認識するように構成されたユーザクライアントによって承認することはできない。あるいは、ユーザクライアントに長期デジタル証明書を拒否させることができる重大な拡張子は、ユーザクライアントによって認識できない。長期デジタル証明書の有効期間は、証明機関サービスまたはサービスへの自身のリクエストを通じてカスタマによって規定することができる。長期デジタル証明書が生成されると、証明機関サービスは、長期デジタル証明書をカスタマに使用のために発行することができる。故に、カスタマは、証明機関サービスから長期デジタル証明書を受信することができる(604)。
証明機関サービスから長期デジタル証明書を受信した後のいつでも、カスタマは、一つ以上のユーザクライアントと通信するときに認証目的のために利用できる一つ以上の短期デジタル証明書を発行するためのリクエストを証明機関サービスに提示することができる(606)。リクエストは、証明機関サービスが、カスタマの身元を確認しかつリクエストされた一つ以上の短期デジタル証明書を取得するための権限をカスタマに与えることを保証するために利用できる前述の長期デジタル証明書を含むことができる。実施形態において、証明機関サービスに提示されたリクエストは、長期デジタル証明書内に規定された公開暗号鍵に対応するカスタマの秘密暗号鍵を利用することによって、カスタマによってデジタル署名される。証明機関サービスは、長期証明書の公開鍵を使用してデジタル署名を確認することができる。これにより証明機関サービスは、短期デジタル証明書が、長期デジタル証明書が以前に発行されたのと同じエンティティに発行されることを保証することができる。
証明機関サービスが長期デジタル証明書の使用を通じてカスタマを検証すると、証明機関サービスは、カスタマに発行できる一つ以上の短期デジタル証明書を生成することができる。これらの短期デジタル証明書は、長期デジタル証明書よりも短い継続期間または有効期間を有することができる。例として、証明機関サービスは、長期デジタル証明書についての残存有効期間に少なくともある程度基づいて、短期デジタル証明書についての有効期間を規定することができる。あるいは、カスタマは、有効期間が長期デジタル証明書についての残存有効期間以下である限り、これらの短期デジタル証明書についての特定の有効期間をリクエストすることができる。これにより、証明機関サービスが、長期デジタル証明書の満期日よりも遅い満期日を有する短期デジタル証明書を発行することを阻止できる。短期デジタル証明書は、長期デジタル証明書内の規定の重大な拡張子を除外することもできる。これによりこれらの短期デジタル証明書が、カスタマを認証するためにユーザクライアントによって利用されることが可能になる。短期デジタル証明書が生成されると、カスタマは、これらの短期デジタル証明書を証明機関サービスから受信することができる(608)。
カスタマが証明機関サービスから一つ以上の短期デジタル証明書を受信すると、カスタマは、認証目的のためにこれらの一つ以上の短期デジタル証明書を利用することができる(610)。例として、カスタマのカスタマサーバは、例として、権限を与えられたサーバと通信して短期デジタル証明書の規定のドメイン名に代わって動作していることをユーザクライアントが決定できる短期デジタル証明書のコピーをユーザクライアントに提供できる。短期デジタル証明書は、証明機関サービスから取得し、例えば、信用がある証明書のためのデータ保存位置においてユーザクライアントによって維持された公開暗号鍵の使用を通じてユーザクライアントによって検証できる証明機関サービスデジタル署名を含むことができる。デジタル署名が検証された場合には、ユーザクライアントは、短期デジタル証明書が本物であり、それを使用してカスタマがそう称する者であることを保証することを決定できる。
前述したように、証明機関サービスは、長期デジタル証明書を発行するためのリクエストをカスタマから受信することができる。この長期デジタル証明書は、カスタマと証明機関サービスとの間の検証目的のために利用することができる。例として、長期デジタル証明書は、カスタマまたは任意の他のエンティティによってユーザクライアントに提供された場合にユーザクライアントにデジタル証明書を拒否させることができる重大な拡張子を規定することができる。しかしながら、証明機関サービスは、この長期デジタル証明書を利用して、カスタマを検証し、リクエスト時に認証のために使用できる短期デジタル証明書を発行することができる。それに応じて、図7は、少なくとも一つの実施形態に従う、長期デジタル証明書を発行するためのカスタマリクエストに応答して、長期デジタル証明書を生成して発行するプロセス700の例証となる実施例を示す。プロセス700は、カスタマに長期デジタル証明書を委託できるか否かを決定するために、カスタマからのリクエストを受信し、他のエンティティと通信するように構成できる前述の証明機関サービスによって実行することができる。さらに、証明機関サービスは、カスタマのリクエストならびに既知のデジタル証明書フォーマット及び基準に少なくともある程度基づいて、これらの長期デジタル証明書を生成するように構成できる。
カスタマは、証明機関サービスと通信して、カスタマと証明機関サービスとの間の検証目的のために利用することができる長期デジタル証明書の発行をリクエストすることができる。カスタマは、ビジネス中にさまざまなユーザクライアントと通信するのに利用できる一つ以上のサーバを動作させることができる。これらの一つ以上のサーバがこれらのユーザクライアントによって認証され、これらの一つ以上のサーバとユーザクライアントとの間の安全な通信を可能にするために、カスタマは、カスタマがそう称する者であることをこれらのユーザクライアントに確信させるために、一つ以上のデジタル証明書を獲得する必要があり得る。前述したように、長期デジタル証明書は、検証目的のために利用される。加えて、この長期デジタル証明書は、ユーザクライアントによってサーバ認証のために利用できる短期デジタル証明書を取得するために必要となり得る。故に、証明機関サービスは、長期デジタル証明書を発行するためのリクエストをカスタマから受信することができる702。
カスタマからのリクエストは、カスタマのビジネスオペレーションに関する情報を含むことができる。例として、カスタマは、名前、住所、Eメールアドレス、ユニフォームリソースロケータ(URL)、財務記録などをレビューのために証明機関サービスに提供することができる。この情報は、カスタマに一つ以上の長期デジタル証明書を委託できるか否かを決定するのに必須であり得る。故に、証明機関サービスは、カスタマを吟味するための徹底的な検証プロセスを実行するための、カスタマから必須の情報を受信したか否かを決定することができる704。証明機関サービスによって要求されるようなこの必須の情報をカスタマが供給しなかった場合には、証明機関サービスは、長期デジタル証明書を発行するためのカスタマのリクエストを拒絶することができる706。
カスタマを検証するのに必要な必須の情報をカスタマが証明機関サービスに供給した場合には、証明機関サービスは、リクエスタ(例えば、カスタマ)を確認及び検証するための一つ以上のエンティティ及びドメイン検証プロセスを実行することができる708。例として、いくつかの実施形態では、証明機関サービスは、カスタマのドメインに管理的に関与するものとして既知のアドレスに一つ以上の電子メール(Eメール)メッセージを送信することができる。証明機関サービスは、例えば、カスタマドメインを識別するための「WHOIS」クエリを使用して、カスタマの「WHOIS」エントリに含まれる規定の連絡アドレスに認証リンクを伝送することができる。追加的にまたは代替的に、証明機関サービスは、さまざまな政府機関データベース及び他の第三者データベースにアクセスし、提供された情報に少なくともある程度基づいて、カスタマに長期デジタル証明書を委託できるか否かを決定することができる。
証明機関サービスがエンティティ及びドメイン検証プロセスを実行すると、証明機関サービスは、これらのプロセスが満たされたか否かを決定することができる(710)。例として、証明機関サービスが、政府機関データベース及び他の第三者データベース内の規定のカスタマ情報の解析に基づいて、カスタマに長期デジタル証明書を委託できないことを決定した場合には、証明機関サービスは、カスタマのリクエストを拒絶することができる(706)。しかしながら、検証プロセスが満たされた場合には、証明機関サービスは、証明機関サービスとカスタマとの間の検証目的に利用できる長期デジタル証明書を生成することができる(712)。
長期デジタル証明書は、デジタル証明書の発行者、証明書についての有効期間、サブジェクト(例えば、カスタマ)、サブジェクトの公開暗号鍵、及び証明機関サービスデジタル署名を規定することができる。長期デジタル証明書は、さらに、長期デジタル証明書が検証目的のみのために利用されることを表すことができる重大な拡張子を規定することができる。この重大な拡張子は、いくつかのユーザクライアントには認識されず、結果として、これらのユーザクライアントによって自動的に拒否され得る。あるいは、ユーザクライアントは、この重大な拡張子を含むあらゆるデジタル証明書を拒否するように構成できる。証明機関サービスがこの長期デジタル証明書を生成すると、証明機関サービスは、この証明書をカスタマに発行することができる(714)。故に、カスタマは、ここで、検証目的のために及びリクエストの一部としてこの長期デジタル証明書を利用して、一つ以上のユーザクライアントと通信するための短期デジタル証明書を取得することができる。
前述したように、証明機関サービスは、一つ以上の短期デジタル証明書を発行するためのカスタマからのリクエストを受信することができる。これらの一つ以上の短期デジタル証明書は、以前に発行された長期デジタル証明書とは対照的に、カスタマを認証してカスタマとこれらのユーザクライアントとの間の安全な通信を可能にするために、ユーザクライアントによって利用することができる。カスタマからのリクエストは、カスタマを検証し、リクエストされた短期デジタル証明書を生成するのに必須の情報を取得するために証明機関サービスによって利用できる以前に発行された長期デジタル証明書を含むことができる。それに応じて、図8は、少なくとも一つの実施形態に従う、カスタマリクエストに応答して、長期デジタル証明書を利用してカスタマを認証して一つ以上の短期デジタル証明書を発行するためのプロセス800の例証となる実施例を示す。
前述のプロセス700と同様に、カスタマは、証明機関サービスと通信して、カスタマによってユーザクライアントに提供され、これらのユーザクライアントがカスタマを認証して安全な通信をカスタマに伝送できる短期デジタル証明書の発行をリクエストすることができる。リクエストは、証明機関サービスによってカスタマに以前に発行され、カスタマと証明機関サービスとの間の検証目的のみに使用可能な長期デジタル証明書を含むことができる。いくつかの実施形態では、短期デジタル証明書を発行するためのリクエストは、短期デジタル証明書がカスタマに発行されることを証明機関サービスに確信させるために、長期デジタル証明書内に含まれるカスタマの秘密暗号鍵を使用してデジタル署名することができる。証明機関サービスは、長期デジタル証明書の公開暗号鍵を使用してデジタル署名を確認することができる。故に、証明機関サービスは、一つ以上の短期デジタル証明書を発行するためのリクエストを受信することができる(802)。
一つ以上の短期デジタル証明書を発行するためのリクエストを証明機関サービスがカスタマから受信すると、証明機関サービスは、長期デジタル証明書内に含まれる情報を調査して(804)、証明書が有効であるか否かを決定することができる(806)。例として、証明機関サービスは、長期デジタル証明書内のサブジェクトフィールドを評価して、リクエストを提示したエンティティが長期デジタル証明書内の規定のサブジェクトとマッチするか否かを決定することができる。さらに、証明機関サービスは、含まれている証明機関サービスデジタル署名を利用することによって長期デジタル証明書が改ざんされたか否かを決定し、証明書の有効性を決定することができる。長期デジタル証明書が有効でないことを証明機関サービスが決定した場合には、証明機関サービスは、短期デジタル証明書を発行するためのカスタマのリクエストを拒絶することができる(808)。
実施形態において、長期デジタル証明書は、短期デジタル証明書をカスタマに発行するように構成された証明機関サービスとは異なる証明機関サービスによって発行することができる。長期デジタル証明書は、この異なる証明機関サービスに対応する証明機関サービスデジタル署名を含むことができる。それに応じて、証明機関サービスは、最初にこの異なる証明機関サービスからの公開暗号鍵を有するか否かを決定し、有する場合には、この公開暗号鍵を利用して、長期デジタル証明書内の規定のデジタル署名を確認し、長期デジタル証明書を検証することができる。長期デジタル証明書が有効である場合には、証明機関サービスは、長期デジタル証明書の調査を継続し、リクエストされた短期デジタル証明書をカスタマに発行できるか否かを決定することができる。
長期デジタル証明書が確かに有効であることを証明機関サービスが決定した場合には、証明機関サービスは、長期デジタル証明書が、短期デジタル証明書を発行するための十分な残存有効期間を未だ有するか否かを決定することができる(810)。例として、証明機関サービスは、証明機関サービスが長期デジタル証明書に基づいて任意の短期デジタル証明書を発行するために、3カ月超の残存有効期間を長期デジタル証明書が有することを要求する場合がある。同様に、証明機関サービスは、特定の有効期間をもつ短期デジタル証明書のみを発行するように構成できる。この特定の有効期間が長期デジタル証明書の残存有効期間を超える場合には、証明機関サービスは、リクエストされた一つ以上の短期デジタル証明書を生成することができない。故に、長期デジタル証明書が十分な残存有効期間を有さないことを証明機関サービスが決定した場合には、証明機関サービスは、カスタマのリクエストを拒絶することができる(808)。
リクエストされた一つ以上の短期デジタル証明書を発行するための十分な残存有効期間を長期デジタル証明書が有することを証明機関サービスが決定すると、証明機関サービスは、発行される短期デジタル証明書の有効期間を決定することができる812。前述したように、証明機関サービスは、設定された有効期間をもつ短期デジタル証明書を生成するように構成できる。故に、これらの短期デジタル証明書は、この特定の有効期間を規定することができる。他の実施形態では、カスタマは、リクエストを通じて、短期デジタル証明書についての所望の有効期間を規定することができる。所望の有効期間が長期デジタル証明書についての残存有効期間を超えない場合には、証明機関サービスは、この所望の有効期間を利用して、リクエストされた一つ以上の短期デジタル証明書の開始日及び満期日を計算することができる。
証明機関サービスは、短期デジタル証明書の決定された有効期間及び長期デジタル証明書から集めた情報を利用して、一つ以上の短期デジタル証明書を生成することができる。その後、証明機関サービスは、カスタマ自身のリクエストに応答してカスタマに一つ以上の短期デジタル証明書を発行することができる(814)。これによりカスタマは、これらの一つ以上の短期デジタル証明書をさまざまなユーザクライアントに提供でき、そしてこれらのユーザクライアントは、カスタマを認証してカスタマと安全に通信することができる。
前述したように、長期デジタル証明書は、ユーザクライアントによって認識できない、またはユーザクライアントに、この拡張子の検出及び認識時に長期デジタル証明書を承認させない重大な拡張子を含むことができる。故に、カスタマが長期デジタル証明書をユーザクライアントに提供した場合には、ユーザクライアントは、カスタマを認証することができず、故に、さらに、カスタマと通信することができない。それに応じて、図9は、少なくとも一つの実施形態に従う、デジタル証明書を利用してカスタマサーバを認証するためのプロセス900の例証となる実施例を示す。プロセス900は、ユーザのコンピューティングデバイスにインストールされたブラウザアプリケーションなどの任意のユーザクライアントによって実行することができる。
ユーザクライアントがカスタマサーバとの通信チャネルを確立するときに、カスタマサーバは、カスタマサーバの身元を確立するために、一つ以上のデジタル証明書をユーザクライアントに伝送することができる。これらのデジタル証明書は、カスタマサーバがそう称する者であるか否かを決定するのに使用できるさまざまなフィールドを含むことができる。例として、デジタル証明書は、カスタマ及び関連付けられたカスタマサーバの名前、アドレス及びドメインを規定できるサブジェクトフィールドを含むことができる。さらに、デジタル証明書は、信用がある証明機関サービスによってデジタル証明書が発行され、デジタル証明書が有効であることをユーザクライアントが確認するのに利用できる証明機関サービスデジタル署名を含むことができる。さらに、デジタル証明書は、ユーザクライアントによってデジタル証明書をどのように処理すべきかを規定できるさまざまな拡張子を含むことができる。故に、カスタマサーバとの通信の確立時に、ユーザクライアントは、このカスタマサーバからデジタル証明書を受信し(902)、さらに、デジタル証明書内の規定の任意の拡張子を識別することができる(904)。
前述したように、長期デジタル証明書は、カスタマサーバと発行している証明機関サービスとの間の検証目的のみに長期デジタル証明書を利用できることを規定できる重大な拡張子を含むことができる。この重大な拡張子は、特定のユーザクライアントには認識されず、結果として、これらのユーザクライアントに長期デジタル証明書を拒否させることができる。あるいは、いくつかの実施形態では、ユーザクライアントは、この重大な拡張子を認識し、結果として、カスタマサーバからの長期デジタル証明書を承認させないように構成できる。故に、ユーザクライアントは、受信したデジタル証明書がこの「検証のみ」の重大な拡張子を含むか否かを決定することができる(906)。デジタル証明書がこの重大な拡張子を含む場合には、ユーザクライアントは、ユーザクライアントがカスタマを認証できないように、ユーザクライアントとカスタマとの間の通信チャネルを終了することができる(908)。しかしながら、重大な拡張子が存在しない場合には、ユーザクライアントは、カスタマサーバを認証するためのデジタル証明書の処理を継続することができる(910)。
図10は、さまざまな実施形態に従う、態様を実施するための例示的な環境1000の態様を例証する。認識されるように、説明を目的としてウェブベースの環境を使用したが、必要に応じて、さまざまな実施形態を実施するための種々の環境を使用することができる。環境は、適切なネットワーク1004を通じてリクエスト、メッセージまたは情報を送信及び/または受信する、そしていくつかの実施形態ではデバイスのユーザに情報を戻すように伝達するように動作可能な任意の適切なデバイスを含むことができる電子クライアントデバイス1002を含む。そのようなクライアントデバイスの実施例は、パーソナルコンピュータ、携帯電話、ハンドヘルドメッセージングデバイス、ラップトップコンピュータ、タブレットコンピュータ、セットトップボックス、パーソナルデータアシスタント、組み込み型コンピュータシステム、電子ブックリーダなどを含む。ネットワークは、イントラネット、インターネット、セルラーネットワーク、ローカルエリアネットワーク、衛星ネットワークもしくは任意の他のそのようなネットワーク、及び/またはそれらの組み合わせを含む任意の適切なネットワークを含むことができる。そのようなシステムに使用される構成要素は、選択されたネットワーク及び/または環境のタイプに少なくともある程度応じて決めることができる。そのようなネットワークを通じて通信するためのプロトコル及び構成要素は、公知であり、本明細書に詳細には論じない。ネットワークを通じた通信は、有線または無線接続及びそれらの組み合わせによって可能になる。他のネットワークでは、当業者に明らかであろうような、同様の目的を果たす代替的なデバイスであるが、この実施例では、リクエストを受信し、それに応答してコンテンツをサーブするためのウェブサーバ1006を環境が含むので、ネットワークは、インターネットを含む。
例証となる環境は、少なくとも一つのアプリケーションサーバ1008及びデータストア1010を含む。相互作用して適切なデータストアからデータを取得するなどのタスクを実行できる鎖状または別な様に構成できるいくつかのアプリケーションサーバ、層もしくは他の要素、プロセスまたは構成要素が存在し得ることを理解すべきである。本明細書に使用されるようなサーバは、ハードウェアデバイスまたは仮想コンピュータシステムなどのさまざまな様式において実装することができる。いくつかの文脈において、サーバは、コンピュータシステムにおいて実行されるプログラミングモジュールを指しても良い。文脈から別な様に明記しないまたは明確にしない限り、本明細書に使用されるような「データストア」という用語は、データを保存、それにアクセス及びそれを検索できる任意のデバイスまたはデバイスの組み合わせを指し、任意の標準、分散、仮想またはクラスタ化環境における、データサーバ、データベース、データ記憶デバイス及びデータ記憶媒体の任意の組み合わせ及び数を含むことができる。アプリケーションサーバは、アプリケーションのためのデータアクセス及びビジネスロジックのいくつかまたはすべてを処理する、クライアントデバイスのための一つ以上のアプリケーションの態様を実行するのに必要なような、データストアと統合するための任意の適切なハードウェア、ソフトウェア及びファームウェアを含むことができる。アプリケーションサーバは、データストアと協働してアクセス制御サービスを提供し、これらに限定されないが、テキスト、グラフィックス、音声、映像及び/またはハイパーテキストマークアップ言語(「HTML」)、拡張マークアップ言語(「XML」)、ジャバスクリプト、カスケーディングスタイルシート(「CSS」)、もしくは他の適切なクライアント側構造化言語の形態において、ウェブサーバによってユーザにサーブすることができる、ユーザに提供されて使用可能な他のコンテンツを含むコンテンツを生成できる。クライアントデバイスに転送されるコンテンツは、これらに限定されないが、ユーザが、音声的に、視覚的にならびに/または触覚、味覚及び/もしくは嗅覚を含む他の感覚を通じて知覚可能な形態を含む一つ以上の形態においてコンテンツを提供するようにクライアントデバイスによって処理することができる。すべてのリクエスト及び応答の処理、ならびにクライアントデバイス1002とアプリケーションサーバ1008との間のコンテンツの送達は、この実施例では、PHP、ハイパーテキストプリプロセッサ(「PHP」)、Python、Ruby、Perl、Java、HTML、XMLまたは別の適切なサーバ側構造化言語を使用してウェブサーバによって処理することができる。本明細書に論じる構造的コードを本明細書の他の箇所に論じるような任意の適切なデバイスまたはホストマシンにおいて実行できるので、ウェブ及びアプリケーションサーバが必須ではなく、単なる例示的な構成要素であることを理解すべきである。さらに、単一デバイスによって実行するように本明細書に記載する動作は、文脈から別な様に明確でない限り、分散及び/または仮想システムを形成できる複数のデバイスによって集合的に実行できる。
データストア1010は、本開示の特定の態様に関するデータを保存するためのいくつかの別個のデータ表、データベース、データドキュメント、動的データストレージスキームならびに/または他のデータストレージ機構及び媒体を含むことができる。例えば、例証したデータストアは、生産側にコンテンツをサーブするのに使用できるプロダクションデータ1012及びユーザ情報1016を保存するための機構を含むことができる。データストアは、報告、解析または他のそのような目的のために使用できるログデータ1014を保存するための機構を含むようにも示される。必要に応じて前にリストした機構またはデータストア1010における追加の機構のいずれかに保存できる、ページイメージ情報及びアクセス権情報などのデータストアに保存する必要があり得る多くの他の態様が存在し得ることを理解すべきである。データストア1010は、それに関連付けられたロジックを通じて、アプリケーションサーバ1008からの命令を受信し、それに応答してデータを取得、更新または別な様に処理するように動作可能である。アプリケーションサーバ1008は、受信した命令に応答して、静的データ、動的データまたは静的データと動的データとの組み合わせを提供することができる。ウェブログ(ブログ)、ショッピングアプリケーション、ニュースサービス及び他のそのようなアプリケーションに使用されるデータなどの動的データは、本明細書に記載するようなサーバ側構造化言語によって生成できる、またはアプリケーションサーバにおいてもしくはその制御下で動作するコンテンツ管理システム(「CMS」)によって提供することができる。一実施例において、ユーザは、ユーザによって操作されるデバイスを通じて、特定のタイプのアイテムについての検索リクエストを提示することができる。この場合では、データストアは、ユーザ情報にアクセスしてユーザの身元を確認し、そしてカタログ詳細情報にアクセスしてそのタイプのアイテムについての情報を取得することができる。その後、ユーザがユーザデバイス1002におけるブラウザを通じて見ることができるウェブページにリストされている結果などの情報をユーザに戻すことができる。関心のある特定のアイテムについての情報は、ブラウザの専用ページまたはウィンドウにおいて見ることができる。しかしながら、本開示のその実施形態が、必ずしもウェブページの文脈に限定されず、リクエストが必ずしもコンテンツについてのリクエストではない場合に、通例、リクエストの処理により広く適用可能であり得ることに留意すべきである。
各サーバは、通常、そのサーバの全般的な管理及び動作のための実行可能プログラム命令を提供するオペレーティングシステム、及び通常、サーバのプロセッサによって実行されたときに、サーバにその意図する機能を実行させる命令を保存するコンピュータ可読記憶媒体(例えば、ハードディスク、ランダムアクセスメモリ、リードオンリーメモリなど)を含む。サーバのオペレーティングシステム及び全般的な機能性の適切な実施態様は、既知または市販されており、特に、本明細書の開示に照らした当業者によって容易に実施される。
一実施形態において、環境は、一つ以上のコンピュータネットワークまたは直接接続を使用して、通信リンクを通じて相互接続されたいくつかのコンピュータシステム及び構成要素を利用する分散及び/または仮想コンピューティング環境である。しかしながら、そのようなシステムが、図10に例証するよりも少ないまたは多い数の構成要素を有するシステムにおいて等しく良好に動作できることが当業者によって認識される。故に、図10のシステム1000の描写は、事実上例証として解釈され、本開示の範囲を限定しないはずである。
さまざまな実施形態は、さらに、場合によっては多数のアプリケーションのいずれかを動作させるのに使用できる、一つ以上のユーザコンピュータ、コンピューティングデバイスまたはプロセッシングデバイスを含むことができる広範な様々な動作環境において実施することができる。ユーザまたはクライアントデバイスは、標準オペレーティングシステムを実行するデスクトップ、ラップトップまたはタブレットコンピュータ、ならびにモバイルソフトウェアを実行し、多数のネットワーキング及びメッセージングプロトコルをサポートできるセルラー、無線及びハンドヘルドデバイスなどの多数の汎用パーソナルコンピュータのいずれかを含むことができる。そのようなシステムは、開発及びデータベース管理などの目的のための様々な市販のオペレーティングシステム及び他の既知のアプリケーションのいずれかを実行する多数のワークステーションも含むことができる。これらのデバイスは、ダミーターミナル、シンクライアント、ゲーミングシステム、及びネットワークを通じて通信できる他のデバイスなどの他の電子デバイスも含むことができる。これらのデバイスは、ネットワークを通じて通信できる仮想マシン、ハイパーバイザ及び他の仮想デバイスなどの仮想デバイスも含むことができる。
本開示のさまざまな実施形態は、伝送制御プロトコル/インターネットプロトコル(「TCP/IP」)、ユーザデータグラムプロトコル(「UDP」)、オープンシステムインターコネクション(「OSI」)モデルのさまざまな層において動作するプロトコル、ファイル転送プロトコル(「FTP」)、ユニバーサルプラグアンドプレイ(「UpnP」)、ネットワークファイルシステム(「NFS」)、共通インターネットファイルシステム(「CIFS」)、及びアップルトークなどの様々な市販のプロトコルのいずれかを使用して通信をサポートするための、当業者によく知られている少なくとも一つのネットワークを利用する。ネットワークは、例えば、ローカルエリアネットワーク、広域ネットワーク、仮想プライベートネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話網、赤外線ネットワーク、無線ネットワーク、衛星ネットワーク、及びそれらの任意の組み合わせであっても良い。
ウェブサーバを利用する実施形態では、ウェブサーバは、ハイパーテキスト転送プロトコル(「HTTP」)サーバ、FTPサーバ、共通ゲートウェイインターフェース(「CGI」)サーバ、データサーバ、Javaサーバ、アパッチサーバ、及びビジネスアプリケーションサーバを含む様々なサーバまたは中間層アプリケーションのいずれかを実行することができる。サーバ(複数可)は、Java(登録商標)、C、C#もしくはC++などの任意のプログラミング言語、またはRuby、PHP、Perl、PythonもしくはTCLなどの任意のスクリプト言語、及びそれらの組み合わせにおいて書き込まれた一つ以上のスクリプトまたはプログラムとして実施できる一つ以上のウェブアプリケーションを実行することなどによって、ユーザデバイスからのリクエストに応答してプログラムまたはスクリプトも実行することができる。サーバ(複数可)は、制限なく、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)及びIBM(登録商標)から市販されているもの、ならびにMySQL、Postgres、SQLite、MongoDBなどのオープンソースサーバ、及び構造化または非構造化データに保存、それを検索及びそれにアクセスできる任意の他のサーバを含むデータベースサーバも含むことができる。データベースサーバは、タブレットベースのサーバ、ドキュメントベースのサーバ、非構造化サーバ、リレーショナルサーバ、非リレーショナルサーバもしくはこれらの組み合わせ、及び/または他のデータベースサーバを含むことができる。
環境は、前述のような様々なデータストア、ならびに他のメモリ及び記憶媒体を含むことができる。これらは、コンピュータの一つ以上にローカル(かつ/またはそこに存在する)、またはネットワークにわたるコンピュータのいずれかまたはすべてからリモートの記憶媒体などの様々な位置に存在することができる。特定の一連の実施形態では、情報は、当業者によく知られているストレージエリアネットワーク(「SAN」)に存在することができる。同様に、コンピュータ、サーバまたは他のネットワークデバイスに属する機能を実行するための任意の必須のファイルを、必要に応じて、ローカルに及び/またはリモートに保存することができる。コンピュータ化されたデバイスをシステムが含む場合には、各々のそのようなデバイスは、バスを通じて電気的に連結できるハードウェア要素を含むことができる。この要素は、例えば、少なくとも一つの中央処理装置(「CPU」または「プロセッサ」)、少なくとも一つの入力デバイス(例えば、マウス、キーボード、コントローラ、タッチスクリーンまたはキーパッド)、及び少なくとも一つの出力デバイス(例えば、表示デバイス、プリンタまたはスピーカ)を含む。そのようなシステムは、ディスクドライブ、光記憶デバイス、及びランダムアクセスメモリ(「RAM」)またはリードオンリーメモリ(「ROM」)などの固体記憶デバイスなどの一つ以上の記憶デバイス、ならびにリムーバブル媒体デバイス、メモリカード、フラッシュカードなども含むことができる。
そのようなデバイスは、前述のようなコンピュータ可読記憶媒体リーダ、通信デバイス(例えば、モデム、ネットワークカード(無線または有線)、赤外線通信デバイスなど)、及びワーキングメモリも含むことができる。コンピュータ可読記憶媒体リーダは、コンピュータ可読記憶媒体、相当するリモート、ローカル、固定及び/またはリムーバブル記憶デバイス、ならびにコンピュータ可読情報を一時的に及び/またはより恒久的に含有、保存、伝送及び検索するための記憶媒体に接続できるまたはそれらを受け入れるように構成できる。システム及びさまざまなデバイスは、通常、クライアントアプリケーションまたはウェブブラウザなどのオペレーティングシステム及びアプリケーションプログラムを含む、少なくとも一つのワーキングメモリデバイス内に位置する多数のソフトウェアアプリケーション、モジュール、サービスまたは他の要素も含む。代替的な実施形態が前述からの数々のバリエーションを有することができることを認識すべきである。例えば、カスタマイズされたハードウェアも使用でき、かつ/または特定の要素をハードウェア、(アプレットなどの高移植性ソフトウェアを含む)ソフトウェアまたはその両方において実装することができる。さらに、ネットワーク入力/出力デバイスなどの他のコンピューティングデバイスとの接続を用いることができる。
コードまたはコードの一部を含有するための記憶媒体及びコンピュータ可読媒体は、これらに限定されないが、RAM、ROM、電気的消去可能プログラマブルリードオンリーメモリ(「EEPROM」)、フラッシュメモリまたは他のメモリ技術を含む、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータなどの情報を保存及び/または伝送するための任意の方法または技術において実装される揮発性の及び不揮発性の、リムーバブル及び非リムーバブル媒体、コンパクトディスク読出し専用メモリ(「CD−ROM」)、デジタル多用途ディスク(DVD)または他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気記憶デバイス、または所望の情報を保存するのに使用できる及びシステムデバイスによってアクセスできる任意の他の媒体などの記憶媒体及び通信媒体を含む、当業界において公知のまたは使用されている任意の適切な媒体を含むことができる。本開示及び本明細書に提供される教示に基づいて、当業者は、さまざまな実施形態を実施する他の様式及び/または方法を認識する。
それに応じて、明細書及び図面は、限定的意味ではなく例証とみなされる。しかしながら、特許請求の範囲に説明されているような本発明のより広範な精神及び範囲から逸脱することなく、本発明にさまざまな修正及び変更を為せることが明白である。
他のバリエーションも本開示の精神内にある。故に、開示した技術はさまざまな修正及び代替的な構造を受け入れることができるが、その特定の例証である実施形態を、図面に示し、詳細に前述した。しかしながら、開示した具体的な一つ以上の形態に本発明を限定する意図はなく、それどころか、その意図が、すべての修正、代替的な構造、及び添付の特許請求の範囲に定義されるような本発明の精神及び範囲内に収まる均等物を含むことを理解すべきである。
開示した実施形態を記載する文脈における(とりわけ、以下の特許請求の範囲の文脈における)、「a」及び「an」ならびに「the」という用語、ならびに同様の指示対象の使用は、本明細書において別な様に示さない限りまたは文脈において明確に矛盾しない限り、単数形及び複数形の両方を含むように解釈されるべきである。「comprising(を備える)」、「having(を有する)」「including(を含む)」、及び「containing(を含有する)」という用語は、別な様に留意されていない限り、オープンエンド用語(すなわち、「including,but not limited to(を含むが、これに限定されない)」を意味する)として解釈されるべきである。「connected(接続された)」という用語は、修正されていなく、物理的接続を指すときには、何らかの介在物が存在する場合でさえも、共に取り付けられたまたは接合された、その内部に部分的または全体的に収容されていると解釈されるべきである。本明細書の値の範囲の列挙は、本明細書において別な様に示さない限り、単に、範囲内に収まる各々の別個の値を個々に指す簡単な方法として役立つように意図され、各々の別個の値は、本明細書に個々に列挙されるように本明細書に組み込まれる。「set(セット)」(例えば、「a set of items」(アイテムのセット)または「subset(サブセット)」という用語の使用は、別な様に留意されていない限りまたは文脈において矛盾しない限り、一つ以上の部材を備えた空でない集合として解釈されるべきである。さらに、別な様に留意されていない限りまたは文脈において矛盾しない限り、対応するセットの「subset(サブセット)」という用語は、必ずしも対応するセットの適切なサブセットを意味せず、むしろ、サブセットと、対応するセットとは等しい場合がある。
「at least one of A,B,and C(A、Bの少なくとも一つ及びC)」または「at least one of A,B and C(A、B及びCの少なくとも一つ)」の形態の慣用句などの接続的な言葉は、別な様に具体的に示されていない限りまたはさもなければ文脈において明確に矛盾しない限り、通例、アイテム、用語などが、AまたはBまたはC、またはA及びB及びCのセットの任意の空でないサブセットのいずれかであり得ることを提示するのに利用されるように文脈においてさもなければ理解される。例として、3つの部材を有するセットの例証となる実施例では、「at least one of A,B,and C(A、Bの少なくとも一つ及びC)」及び「at least one of A,B and C(A、B及びCの少なくとも一つ)」という接続的な慣用句は、以下のセット、すなわち、{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}のいずれかを指す。故に、そのような接続的な言葉は、通常、特定の実施形態が、各々が存在し得る、Aの少なくとも一つ、Bの少なくとも一つ、Cの少なくとも一つを必要とすることを示唆することは意図しない。
本明細書に記載するプロセスの動作は、本明細書において別な様に示さない限りまたはさもなければ文脈において明確に矛盾しない限り、任意の適切な順序で実行することができる。本明細書に記載するプロセス(または、それらのバリエーション及び/または組み合わせ)は、実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で実行することができる、及びハードウェアまたはそれらの組み合わせによって一つ以上のプロセッサにおいて集合的に実行するコード(例えば、実行可能命令、一つ以上のコンピュータプログラムまたは一つ以上のアプリケーション)として実装することができる。コードは、例えば、一つ以上のプロセッサによって実行可能な複数個の命令を含むコンピュータプログラムの形態において、コンピュータ可読記憶媒体に保存することができる。コンピュータ可読記憶媒体は、非一時的であっても良い。
本明細書に提供される任意の及びすべての実施例または例示の言葉(例えば、「such as(などの)」)の使用は、別な様に主張されない限り、単に、本発明の実施形態の理解を容易にすることが意図され、本発明の範囲を制限しない。明細書中の言葉はすべて、本発明の実践に絶対不可欠なものとして任意の主張しない要素を示唆しないものとして解釈される。
本開示の実施形態は、本発明を実行するための発明者らに既知の最良の形態を含んで本明細書に記載される。それらの実施形態のバリエーションは、先の記載を読んだ当業者に明らかになる。発明者らは、当業者が必要に応じてそのようなバリエーションを用いることを期待し、そして発明者らは、本開示の実施形態が本明細書に具体的に記載するのとは別な様に実践されることを意図する。それに応じて、本開示の範囲は、適用法によって許可されるようなこの文書に添付した特許請求の範囲に列挙した主題のすべての修正及び均等物を含む。その上、そのすべての可能なバリエーションにおける前述の要素の任意の組み合わせは、本明細書において別な様に示さない限りまたはさもなければ文脈において明確に矛盾しない限り、本開示の範囲に包含される。
本明細書に引用された公開物、特許出願及び特許品を含むすべての参考文献は、各参考文献が個々にかつ具体的に表されるように参照により組み込まれ、かつ本明細書全体において説明されるのと同じ範囲において本文書に参照により組み込まれる。
本開示の実施形態は、以下の条項を考慮して記載することができる。
1.
実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で、
第一のデジタル証明書をエンティティに発行することと、ここで、前記第一のデジタル証明書が、前記エンティティの検証を証明機関サービスに可能にさせる重大な拡張子を規定し、前記第一のデジタル証明書が、
前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
第一の公開暗号鍵を規定し、
第一の秘密暗号鍵に対応し、かつ
前記第一のデジタル証明書についての第一の有効期間を規定し、
前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信することと、ここで、前記リクエストが、前記第一のデジタル証明書及びデジタル署名を含み、前記第二のデジタル証明書が、前記エンティティのサーバを認証するために使用可能であり、
前記第一のデジタル証明書内の規定の有効期間及び前記第一の公開暗号鍵に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定することと、及び
前記少なくとも一つのサブジェクトフィールド、及び前記第一の有効期間よりも短い第二の有効期間を有するように前記第二のデジタル証明書を発行することと、を含む、コンピュータ実施方法。
2.
前記エンティティの検証を証明機関サービスに可能にさせる前記重大な拡張子が、さらに、前記エンティティの前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止する、条項1に記載のコンピュータ実施方法。
3.
前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記証明機関サービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記証明機関サービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を規定する、条項1または2に記載のコンピュータ実施方法。
4.
前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書に規定された前記第一の公開暗号鍵とは異なる第二の公開暗号鍵を含む、条項1〜3のいずれか1項に記載のコンピュータ実施方法。
5.
一つ以上のサービスを実施するように構成された少なくとも一つのコンピューティングデバイスを備えたシステムであって、前記一つ以上のサービスが、
第一のデジタル証明書をエンティティに発行し、ここで、前記第一のデジタル証明書が、
前記エンティティの検証を前記一つ以上のサービスに可能にさせ、かつ
前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信し、ここで、前記リクエストが、前記エンティティを認証するために使用可能な前記第一のデジタル証明書及び前記第二のデジタル証明書を含み、
前記第一のデジタル証明書内の規定の情報に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定し、かつ
前記第一のデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有するように前記第二のデジタル証明書を発行するように構成された、前記システム。
6.
前記第二のデジタル証明書を発行するための前記リクエストがデジタル署名を含み、かつ
前記一つ以上のサービスが、さらに、前記第一のデジタル証明書内の規定の公開暗号鍵を使用して前記デジタル署名を確認するように構成された、条項5に記載のシステム。
7.
前記第一のデジタル証明書内の規定の前記情報が、前記第一のデジタル証明書についての有効期間を含み、かつ
前記一つ以上のサービスが、さらに、前記第一のデジタル証明書についての前記有効期間を利用して、前記第一のデジタル証明書が満期になってなく、かつ前記第二のデジタル証明書を発行するために利用できることを確認するように構成された、条項5または6に記載のシステム。
8.
前記第二のデジタル証明書の前記情報が、前記第一のデジタル証明書についての前記有効期間よりも短い有効期間を規定する、条項7に記載のシステム。
9.
前記第二のデジタル証明書に含まれる前記情報が、さらに、前記第二のデジタル証明書を発行するための前記リクエスト内の、前記エンティティによって規定された有効期間に少なくともある程度基づく、条項5〜8のいずれか1項に記載のシステム。
10.
前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書内に含まれない一つ以上の追加のサブジェクトフィールドを有するように発行された、条項5〜9のいずれか1項に記載のシステム。
11.
前記第一のデジタル証明書が、前記第一のデジタル証明書を認証のために使用すべきでないことを表す重大な拡張子を規定する、条項5〜10のいずれか1項に記載のシステム。
12.
前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記一つ以上のサービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記一つ以上のサービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を含む、条項11に記載のシステム。
13.
コンピュータシステムの一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、少なくとも、
エンティティから、前記エンティティを認証するために使用可能なデジタル証明書を発行するためのリクエストを受信させる、ここで、前記リクエストが、証明機関サービスが前記エンティティを検証し、かつ前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定するのに使用可能な以前に発行されたデジタル証明書を含み、
前記以前に発行されたデジタル証明書内の規定の情報に少なくともある程度基づいて、前記デジタル証明書を発行するか否かを決定させる、及び
前記以前に発行されたデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有する前記デジタル証明書を発行させる、実行可能命令をそこに保存した非一時的コンピュータ可読記憶媒体。
14.
前記命令が、さらに、前記コンピュータシステムの前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記リクエスト内の前記エンティティによって規定された所望の有効期間を取得させて、前記第二のデジタル証明書を発行するか否かを決定させる命令を含む、条項13に記載の非一時的コンピュータ可読記憶媒体。
15.
前記以前に発行されたデジタル証明書が、前記以前に発行されたデジタル証明書を発行するための、前記エンティティからのリクエストに応答して、前記コンピュータシステムによって発行された、条項13または14に記載の非一時的コンピュータ可読記憶媒体。
16.
前記以前に発行されたデジタル証明書が、さらに、秘密暗号鍵に対応する公開暗号鍵を規定し、
前記以前に発行されたデジタル証明書内の規定の前記情報が、前記以前に発行されたデジタル証明書についての有効期間を含み、かつ
前記命令が、さらに、前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記有効期間を利用させて、前記以前に発行されたデジタル証明書が満期になってなく、かつ前記デジタル証明書を発行するために利用できることを確認させる命令を含む、条項13〜15のいずれか1項に記載の非一時的コンピュータ可読記憶媒体。
17.
前記発行されたデジタル証明書内に含まれる前記情報が、前記以前に発行されたデジタル証明書についての前記有効期間よりも短い有効期間を規定する、条項16に記載の非一時的コンピュータ可読記憶媒体。
18.
前記デジタル証明書を発行するための前記リクエストが、前記公開暗号に対応する前記秘密暗号鍵を利用して前記エンティティによってデジタル署名された、条項16または17に記載の非一時的コンピュータ可読記憶媒体。
19.
前記以前に発行されたデジタル証明書が、前記エンティティを検証するために利用される一つ以上の基準を含む重大な拡張子を規定する、条項13〜18のいずれか1項に記載の非一時的コンピュータ可読記憶媒体。
20.
前記重大な拡張子が、さらに、前記以前に発行されたデジタル証明書を認証のために使用すべきでないことを表す、条項19に記載の非一時的コンピュータ可読記憶媒体。

Claims (15)

  1. 実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で、
    第一のデジタル証明書をエンティティに発行することと、ここで、前記第一のデジタル証明書が、前記エンティティの検証を証明機関サービスに可能にさせる重大な拡張子を規定し、前記第一のデジタル証明書が、
    前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
    第一の公開暗号鍵を規定し、
    第一の秘密暗号鍵に対応し、かつ
    前記第一のデジタル証明書についての第一の有効期間を規定し、
    前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信することと、ここで、前記リクエストが、前記第一のデジタル証明書及びデジタル署名を含み、前記第二のデジタル証明書が、前記エンティティのサーバを認証するために使用可能であり、
    前記第一のデジタル証明書内の規定の有効期間及び前記第一の公開暗号鍵に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定することと、及び
    前記少なくとも一つのサブジェクトフィールド、及び前記第一の有効期間よりも短い第二の有効期間を有するように前記第二のデジタル証明書を発行することと、を含む、
    コンピュータ実施方法。
  2. 前記エンティティの検証を証明機関サービスに可能にさせる前記重大な拡張子が、さらに、前記エンティティの前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止する、請求項1に記載のコンピュータ実施方法。
  3. 前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記証明機関サービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記証明機関サービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を規定する、請求項1または請求項2に記載のコンピュータ実施方法。
  4. 前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書に規定された前記第一の公開暗号鍵とは異なる第二の公開暗号鍵を含む、請求項1から請求項3の何れか一項に記載のコンピュータ実施方法。
  5. 一つ以上のサービスを実施するように構成された少なくとも一つのコンピューティングデバイスを備えたシステムであって、前記一つ以上のサービスが、
    第一のデジタル証明書をエンティティに発行し、ここで、前記第一のデジタル証明書が、
    前記エンティティの検証を前記一つ以上のサービスに可能にさせ、かつ
    前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
    前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信し、ここで、前記リクエストが、前記エンティティを認証するために使用可能な前記第一のデジタル証明書及び前記第二のデジタル証明書を含み、
    前記第一のデジタル証明書内の規定の情報に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定し、かつ
    前記第一のデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有するように前記第二のデジタル証明書を発行するように構成された、前記システム。
  6. 前記第二のデジタル証明書を発行するための前記リクエストがデジタル署名を含み、かつ
    前記一つ以上のサービスが、さらに、前記第一のデジタル証明書内の規定の公開暗号鍵を使用して前記デジタル署名を確認するように構成された、請求項5に記載のシステム。
  7. 前記第一のデジタル証明書内の規定の前記情報が、前記第一のデジタル証明書についての有効期間を含み、かつ
    前記一つ以上のサービスが、さらに、前記第一のデジタル証明書についての前記有効期間を利用して、前記第一のデジタル証明書が満期になってなく、かつ前記第二のデジタル証明書を発行するために利用できることを確認するように構成された、請求項5または請求項6に記載のシステム。
  8. 前記第二のデジタル証明書の前記情報が、前記第一のデジタル証明書についての前記有効期間よりも短い有効期間を規定する、請求項7に記載のシステム。
  9. 前記第二のデジタル証明書に含まれる前記情報が、さらに、前記第二のデジタル証明書を発行するための前記リクエスト内の、前記エンティティによって規定された有効期間に少なくともある程度基づく、請求項5から請求項8の何れか一項に記載のシステム。
  10. 前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書内に含まれない一つ以上の追加のサブジェクトフィールドを有するように発行された、請求項5から請求項9の何れか一項に記載のシステム。
  11. 前記第一のデジタル証明書が、前記第一のデジタル証明書を認証のために使用すべきでないことを表す重大な拡張子を規定する、請求項5から請求項10の何れか一項に記載のシステム。
  12. 前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記一つ以上のサービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記一つ以上のサービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を含む、請求項11に記載のシステム。
  13. 一つ以上のサービスを実施するように構成された少なくとも一つのコンピューティングデバイスを備えたシステムであって、前記一つ以上のサービスが、
    エンティティから、前記エンティティを認証するために使用可能なデジタル証明書を発行するためのリクエストを受信し、ここで、前記リクエストが、証明機関サービスが前記エンティティを検証し、かつ前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定するのに使用可能な以前に発行されたデジタル証明書を含み、
    前記以前に発行されたデジタル証明書内の規定の情報に少なくともある程度基づいて、前記デジタル証明書を発行するか否かを決定し、かつ
    前記以前に発行されたデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有する前記デジタル証明書を発行するように構成された、前記システム。
  14. 前記命令が、さらに、前記コンピュータシステムの前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記リクエスト内の前記エンティティによって規定された所望の有効期間を取得させて、第二のデジタル証明書を発行するか否かを決定させる命令を含む、請求項13に記載のシステム。
  15. 前記以前に発行されたデジタル証明書が、さらに、秘密暗号鍵に対応する公開暗号鍵を規定し、
    前記以前に発行されたデジタル証明書内の規定の前記情報が、前記以前に発行されたデジタル証明書についての有効期間を含み、
    前記命令が、さらに、前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記有効期間を利用させて、前記以前に発行されたデジタル証明書が満期になってなく、かつ前記デジタル証明書を発行するために利用できることを確認させる命令を含み、かつ
    前記デジタル証明書を発行するための前記リクエストが、前記公開暗号鍵に対応する前記秘密暗号鍵を利用して前記エンティティによってデジタル署名された、請求項13に記載のシステム。
JP2017529776A 2014-12-15 2015-12-14 長期デジタル証明書の検証に基づく短期デジタル証明書の発行 Active JP6533292B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/570,867 2014-12-15
US14/570,867 US9843452B2 (en) 2014-12-15 2014-12-15 Short-duration digital certificate issuance based on long-duration digital certificate validation
PCT/US2015/065634 WO2016140724A2 (en) 2014-12-15 2015-12-14 Short-duration digital certificate issuance based on long-duration digital certificate validation

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019096699A Division JP7131756B2 (ja) 2014-12-15 2019-05-23 長期デジタル証明書の検証に基づく短期デジタル証明書の発行

Publications (2)

Publication Number Publication Date
JP2017537548A true JP2017537548A (ja) 2017-12-14
JP6533292B2 JP6533292B2 (ja) 2019-06-19

Family

ID=56112223

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2017529776A Active JP6533292B2 (ja) 2014-12-15 2015-12-14 長期デジタル証明書の検証に基づく短期デジタル証明書の発行
JP2019096699A Active JP7131756B2 (ja) 2014-12-15 2019-05-23 長期デジタル証明書の検証に基づく短期デジタル証明書の発行
JP2022001322A Active JP7393083B2 (ja) 2014-12-15 2022-01-06 長期デジタル証明書の検証に基づく短期デジタル証明書の発行

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2019096699A Active JP7131756B2 (ja) 2014-12-15 2019-05-23 長期デジタル証明書の検証に基づく短期デジタル証明書の発行
JP2022001322A Active JP7393083B2 (ja) 2014-12-15 2022-01-06 長期デジタル証明書の検証に基づく短期デジタル証明書の発行

Country Status (9)

Country Link
US (3) US9843452B2 (ja)
EP (2) EP3496333B1 (ja)
JP (3) JP6533292B2 (ja)
KR (3) KR102054444B1 (ja)
CN (2) CN112491553A (ja)
AU (1) AU2015384754B2 (ja)
CA (1) CA2969237C (ja)
SG (2) SG10201802513TA (ja)
WO (1) WO2016140724A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020036228A (ja) * 2018-08-30 2020-03-05 株式会社東芝 情報処理装置、通信機器、および情報処理システム
JP2020167469A (ja) * 2019-03-28 2020-10-08 キヤノン株式会社 通信装置、制御方法、および、プログラム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454899B1 (en) * 2015-03-16 2019-10-22 Amazon Technologies, Inc. Controlling firewall ports in virtualized environments through public key cryptography
US10063536B2 (en) * 2016-03-25 2018-08-28 Ca, Inc. Short term or one-time-use X.509 digital certificates
US10425417B2 (en) 2017-03-08 2019-09-24 Bank Of America Corporation Certificate system for verifying authorized and unauthorized secure sessions
WO2018165138A1 (en) * 2017-03-08 2018-09-13 Amazon Technologies, Inc. Digital certificate issuance and monitoring
US10361852B2 (en) * 2017-03-08 2019-07-23 Bank Of America Corporation Secure verification system
US10432595B2 (en) * 2017-03-08 2019-10-01 Bank Of America Corporation Secure session creation system utililizing multiple keys
US10374808B2 (en) * 2017-03-08 2019-08-06 Bank Of America Corporation Verification system for creating a secure link
US10454690B1 (en) * 2017-08-04 2019-10-22 Amazon Technologies, Inc. Digital certificates with distributed usage information
CN108595318B (zh) * 2018-03-31 2021-05-14 西安电子科技大学 Rfc制导的ssl/tls实现中数字证书验证模块的差异测试方法
US11323274B1 (en) 2018-04-03 2022-05-03 Amazon Technologies, Inc. Certificate authority
US11563590B1 (en) 2018-04-03 2023-01-24 Amazon Technologies, Inc. Certificate generation method
US11888997B1 (en) * 2018-04-03 2024-01-30 Amazon Technologies, Inc. Certificate manager
CN110380857B (zh) * 2018-04-12 2020-09-11 中国移动通信有限公司研究院 数字证书处理方法及装置、区块链节点、存储介质
WO2019212581A1 (en) 2018-04-30 2019-11-07 Google Llc Secure collaboration between processors and processing accelerators in enclaves
CN112005230B (zh) 2018-04-30 2024-05-03 谷歌有限责任公司 通过统一的安全区接口管理安全区创建
US11509643B2 (en) * 2018-04-30 2022-11-22 Google Llc Enclave interactions
EP3588844A1 (en) * 2018-06-26 2020-01-01 BBVA Next Technologies, S.L. Method for monitoring digital certificates
JP7300845B2 (ja) * 2019-02-15 2023-06-30 三菱重工業株式会社 制御装置、産業用制御システムおよび暗号鍵寿命延長方法
KR102224726B1 (ko) * 2019-04-12 2021-03-08 주식회사 한국보안인증 IoT 디바이스를 위한 임시 인증서 발급 방법
US11626975B2 (en) * 2020-03-26 2023-04-11 Arris Enterprises Llc Secure online issuance of customer-specific certificates with offline key generation
CN111935169B (zh) * 2020-08-20 2021-10-26 腾讯云计算(北京)有限责任公司 一种业务数据访问方法、装置、设备及存储介质
US11683188B2 (en) * 2020-10-13 2023-06-20 Google Llc Representing certificate expiration with time-based intermediate certificate authorities

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005130447A (ja) * 2003-07-25 2005-05-19 Ricoh Co Ltd 通信装置、通信システム及び証明書設定方法
US20100268942A1 (en) * 2009-04-15 2010-10-21 Secuware Systems and Methods for Using Cryptographic Keys
US20120210123A1 (en) * 2011-02-10 2012-08-16 Microsoft Corporation One-time password certificate renewal
US20130145155A1 (en) * 2009-12-16 2013-06-06 Symantec Corporation Provisioning multiple digital certificates
US20130275750A1 (en) * 2008-03-10 2013-10-17 Secureauth Corporation Configuring a valid duration period for a digital certificate

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5671279A (en) * 1995-11-13 1997-09-23 Netscape Communications Corporation Electronic commerce using a secure courier system
US5872844A (en) * 1996-11-18 1999-02-16 Microsoft Corporation System and method for detecting fraudulent expenditure of transferable electronic assets
US5903882A (en) * 1996-12-13 1999-05-11 Certco, Llc Reliance server for electronic transaction system
US6125349A (en) * 1997-10-01 2000-09-26 At&T Corp. Method and apparatus using digital credentials and other electronic certificates for electronic transactions
US6233341B1 (en) * 1998-05-19 2001-05-15 Visto Corporation System and method for installing and using a temporary certificate at a remote site
US7461250B1 (en) * 1999-07-22 2008-12-02 Rsa Security, Inc. System and method for certificate exchange
US7010683B2 (en) * 2000-01-14 2006-03-07 Howlett-Packard Development Company, L.P. Public key validation service
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
US7340600B1 (en) * 2000-01-14 2008-03-04 Hewlett-Packard Development Company, L.P. Authorization infrastructure based on public key cryptography
US6854057B2 (en) 2001-09-06 2005-02-08 America Online, Inc. Digital certificate proxy
JP4018584B2 (ja) * 2003-04-01 2007-12-05 キヤノン株式会社 無線接続装置の認証方法及び無線接続装置
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
US8015399B2 (en) * 2003-09-30 2011-09-06 Ricoh Company, Ltd. Communication apparatus, communication system, certificate transmission method and program
US20050091658A1 (en) * 2003-10-24 2005-04-28 Microsoft Corporation Operating system resource protection
JP4823704B2 (ja) 2006-02-01 2011-11-24 Kddi株式会社 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス
JP4800377B2 (ja) * 2006-02-28 2011-10-26 パナソニック株式会社 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法
JP2008022526A (ja) 2006-06-13 2008-01-31 Hitachi Ltd 属性証明書検証方法、属性認証局装置、サービス提供装置、および属性証明書検証システム
GB0612775D0 (en) * 2006-06-28 2006-08-09 Ibm An apparatus for securing a communications exchange between computers
US20080133414A1 (en) * 2006-12-04 2008-06-05 Samsung Electronics Co., Ltd. System and method for providing extended domain management when a primary device is unavailable
US8195934B1 (en) * 2007-05-03 2012-06-05 United Services Automobile Association (Usaa) Systems and methods for managing certificates
KR101096726B1 (ko) * 2008-05-19 2011-12-21 에스케이플래닛 주식회사 콘텐츠 drm 변환 시스템 및 방법과 이를 위한 인증 서버및 사용자 단말기
JP2010081154A (ja) 2008-09-25 2010-04-08 Fuji Xerox Co Ltd 情報処理装置、プログラム、及び情報処理システム
US20100205429A1 (en) * 2009-02-10 2010-08-12 Gm Global Technology Operations, Inc. System and method for verifying that a remote device is a trusted entity
CN101521883B (zh) * 2009-03-23 2011-01-19 中兴通讯股份有限公司 一种数字证书的更新和使用方法及系统
US9680819B2 (en) * 2009-12-23 2017-06-13 Symantec Corporation Method and system for co-termination of digital certificates
JP2011160383A (ja) 2010-02-04 2011-08-18 Konica Minolta Business Technologies Inc 監視装置、監視方法および監視プログラム
EP2622786B1 (en) * 2010-09-30 2016-08-03 Entersekt International Limited Mobile handset identification and communication authentication
JP5822489B2 (ja) * 2011-03-07 2015-11-24 キヤノン株式会社 情報処理装置及びコンピュータプログラム
US9754253B1 (en) * 2011-11-28 2017-09-05 Amazon Technologies, Inc. Conditioned use of certificates
EP2600647B1 (en) * 2011-12-02 2015-03-18 BlackBerry Limited Derived certificate based on changing identity
US8843740B2 (en) * 2011-12-02 2014-09-23 Blackberry Limited Derived certificate based on changing identity
US8856514B2 (en) * 2012-03-12 2014-10-07 International Business Machines Corporation Renewal processing of digital certificates in an asynchronous messaging environment
US8954733B2 (en) * 2012-03-23 2015-02-10 International Business Machines Corporation Embedded extrinsic source for digital certificate validation
CN102624531B (zh) * 2012-04-25 2014-12-03 西安西电捷通无线网络通信股份有限公司 一种数字证书自动申请方法和装置及系统
WO2014038034A1 (ja) * 2012-09-06 2014-03-13 富士通株式会社 情報処理システム,情報処理方法,プログラム
CN102801532B (zh) * 2012-09-14 2015-07-08 江苏先安科技有限公司 一种多个数字证书的关联方法和验证方法
RU2514138C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
JP6079394B2 (ja) 2013-04-11 2017-02-15 富士通株式会社 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム
DE102014222220B4 (de) * 2014-10-30 2018-10-18 Getemed Medizin- Und Informationstechnik Ag Verfahren und Anordnung zum Management für die ambulante Elektrokardiografie an einem Patienten
US9614833B1 (en) * 2014-10-31 2017-04-04 Symantec Corporation Automated certificate management for a website associated with multiple certificates
US10516542B2 (en) * 2017-03-08 2019-12-24 Amazon Technologies, Inc. Digital certificate issuance and monitoring

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005130447A (ja) * 2003-07-25 2005-05-19 Ricoh Co Ltd 通信装置、通信システム及び証明書設定方法
US20130275750A1 (en) * 2008-03-10 2013-10-17 Secureauth Corporation Configuring a valid duration period for a digital certificate
US20100268942A1 (en) * 2009-04-15 2010-10-21 Secuware Systems and Methods for Using Cryptographic Keys
US20130145155A1 (en) * 2009-12-16 2013-06-06 Symantec Corporation Provisioning multiple digital certificates
US20120210123A1 (en) * 2011-02-10 2012-08-16 Microsoft Corporation One-time password certificate renewal

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
H. HOUSLEY, ET AL.: "Internet X.509 Public Key Infrastructure Certificate and CRL Profile", NET WORK WORKING GROUP REQUEST FOR COMMENTS: 2459, vol. Category: Standards Track, JPN6018022203, January 1999 (1999-01-01), pages 1 - 15, ISSN: 0003816393 *
Z/OS SECURITY SERVER PKIサービス ガイドおよび解説書, vol. 第1刷, JPN6018022199, December 2002 (2002-12-01), pages 157 - 365, ISSN: 0004020262 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020036228A (ja) * 2018-08-30 2020-03-05 株式会社東芝 情報処理装置、通信機器、および情報処理システム
US11516021B2 (en) 2018-08-30 2022-11-29 Kabushiki Kaisha Toshiba Information processing apparatus, communication device, and information processing system
JP2020167469A (ja) * 2019-03-28 2020-10-08 キヤノン株式会社 通信装置、制御方法、および、プログラム
JP7250587B2 (ja) 2019-03-28 2023-04-03 キヤノン株式会社 通信装置、制御方法、および、プログラム

Also Published As

Publication number Publication date
CA2969237C (en) 2020-03-31
US11575522B2 (en) 2023-02-07
KR20190137968A (ko) 2019-12-11
EP3496333B1 (en) 2024-02-07
US20180102905A1 (en) 2018-04-12
AU2015384754A1 (en) 2017-06-29
JP7131756B2 (ja) 2022-09-06
JP2022050548A (ja) 2022-03-30
US20160173287A1 (en) 2016-06-16
JP2019165492A (ja) 2019-09-26
SG11201704594TA (en) 2017-07-28
CN112491553A (zh) 2021-03-12
KR20200130491A (ko) 2020-11-18
JP6533292B2 (ja) 2019-06-19
AU2015384754B2 (en) 2018-09-13
KR102451297B1 (ko) 2022-10-06
KR20170094276A (ko) 2017-08-17
CN107005416A (zh) 2017-08-01
EP3235169A2 (en) 2017-10-25
CA2969237A1 (en) 2016-09-09
EP3235169B1 (en) 2019-03-06
WO2016140724A2 (en) 2016-09-09
KR102177775B1 (ko) 2020-11-11
EP3496333A1 (en) 2019-06-12
SG10201802513TA (en) 2018-05-30
US9843452B2 (en) 2017-12-12
KR102054444B1 (ko) 2019-12-10
CN107005416B (zh) 2020-12-04
JP7393083B2 (ja) 2023-12-06
US11936797B1 (en) 2024-03-19
WO2016140724A3 (en) 2016-10-20

Similar Documents

Publication Publication Date Title
JP7393083B2 (ja) 長期デジタル証明書の検証に基づく短期デジタル証明書の発行
US11777911B1 (en) Presigned URLs and customer keying
US11018874B2 (en) Digital signature verification for asynchronous responses
US10362039B2 (en) Permissions for hybrid distributed network resources
US10615987B2 (en) Digital certificate usage monitoring systems
US10482231B1 (en) Context-based access controls
US10375177B1 (en) Identity mapping for federated user authentication
US10404477B1 (en) Synchronization of personal digital certificates
US10516542B2 (en) Digital certificate issuance and monitoring
US11025642B1 (en) Electronic message authentication
US10587617B2 (en) Broadcast-based trust establishment
EP3593489A1 (en) Digital certificate issuance and monitoring

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170725

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180619

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20180918

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190523

R150 Certificate of patent or registration of utility model

Ref document number: 6533292

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250