JP7470879B2 - 遠隔証明機関管理 - Google Patents

遠隔証明機関管理 Download PDF

Info

Publication number
JP7470879B2
JP7470879B2 JP2023563906A JP2023563906A JP7470879B2 JP 7470879 B2 JP7470879 B2 JP 7470879B2 JP 2023563906 A JP2023563906 A JP 2023563906A JP 2023563906 A JP2023563906 A JP 2023563906A JP 7470879 B2 JP7470879 B2 JP 7470879B2
Authority
JP
Japan
Prior art keywords
gateway
task
remote
module
plug
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023563906A
Other languages
English (en)
Other versions
JP2024501591A (ja
JPWO2022146571A5 (ja
Inventor
ジョナサン プローチ,
エドワード ショーター,
レックス エドワード ウィーラー,
Original Assignee
キーファクター, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by キーファクター, インコーポレイテッド filed Critical キーファクター, インコーポレイテッド
Publication of JP2024501591A publication Critical patent/JP2024501591A/ja
Publication of JPWO2022146571A5 publication Critical patent/JPWO2022146571A5/ja
Application granted granted Critical
Publication of JP7470879B2 publication Critical patent/JP7470879B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Lock And Its Accessories (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Stored Programmes (AREA)

Description

(関連出願の相互参照)
本願は、参照することによってその全体として本明細書に組み込まれる、2020年12月28日に出願された、米国仮出願第63/131,085号の利益を主張する。
本開示は、概して、コンピュータネットワークセキュリティに関し、より具体的には、クラウドによってホストされるサービスを介してセキュアなネットワークにアクセスすることを要求する、コンピューティングデバイスのためのセキュリティポリシを実装および管理するためのシステムおよび方法に関する。
証明機関(CA)ソフトウェアは、運転免許証またはパスポートに対して暗号で署名されるデジタルパラレルである、デジタル証明書を生成するために使用される。デジタル証明書は、ユーザまたはウェブサイト認証、デジタル署名ソフトウェア、またはシステム間で情報を暗号化することを含む、多種多様なユースケースのために使用される。証明書を使用するアプリケーションは、非常に普及した状態になりつつあり(例えば、組織内の数百万もの証明書)、したがって、証明書をセキュアに追跡、管理、更新、および発行することは、課題である。
標準的な機能性の一部として、証明書ライフサイクル管理(CLM)ソフトウェアが、CAソフトウェアへのネットワーク接続を開始し、新しい証明書を要求する、証明書を延長する、証明書を無効にすること等の機能を実施する、または発行された証明書のインベントリを取得する。これらの接続は、典型的には、CLMソフトウェアによって、CLMソフトウェアのエンドユーザに代わって開始され、CAソフトウェアエンティティから入手可能である、アプリケーションプログラミングインターフェース(API)エンドポイントと通信する。
多くのエンティティが、CAと、エンティティがそれらのジョブを行うために使用する暗号化キーとの機密性の高い本質に起因して、CAソフトウェアをそれら自体の環境内で実行する。したがって、これらのCAシステムは、多くの場合、利用可能な最高レベルのネットワークおよび物理的セキュリティ制御を用いて保護される。
対照的に、多くの組織は、クラウドによってホストされる、またはソフトウェア・アズ・ア・サービス(SaaS)モデルが、提供し得る、多くの恩恵のために、それらのCLMソフトウェアをクラウドベースまたはサードパーティホスト環境内で実行させることを所望する。本コネクティビティの必要性および環境の不均衡が、克服することが困難である、課題を生じさせる。クラウドによってホストされる環境から顧客の内部的にホストされるCAソフトウェアにコンタクトすることは、組織がそれらのネットワーク上に、特に、CA等の機密性の高いシステムの周囲に配置する厳重な制御に起因して、不可能ではないにしても、困難である。本使用法パターンをサポートするために現在利用可能な選択肢は、典型的には、クラウドによってホストされるソフトウェアと組織のネットワークとの間に仮想プライベートネットワーク(VPN)を設定すること、または組織がそれらのCAソフトウェアをリバースネットワークプロキシまたは類似の技術を介してインターネットに公開することであろう。しかしながら、これらの選択肢のいずれも、それらが2つの環境間に公開された「攻撃対象領域」を開放し、サイバー攻撃のリスクを増加させるため、CAユーザにとってあまり魅力的ではない。
本明細書は、CAソフトウェアが典型的に置かれている、機密性の高いネットワーク環境を、CLMソフトウェアがホストされるクラウド環境にブリッジさせるための機構を伴う、証明機関(CA)と証明書ライフサイクル管理(CLM)システムとの間のセキュアな通信を促進するためのシステム、方法、デバイス、および技法を説明する。本アプローチは、機密性の高いCAデータセンターからのアウトバウンドネットワーク接続を利用しながら、CLMシステムが、CLMユースケースが、永続的なクライアント開始通信プロトコルを使用して指示する、リアルタイムの動的方式でCAを使用することを可能にする。WebSocketプロトコルまたは「ロングポーリング」アプローチを含み得る、永続的なクライアント開始通信プロトコルが、タスク管理および調整およびゲートウェイフレームワークと併せて活用され、永続的なクライアント通信のための目標を達成する。
一般に、本明細書において説明される主題の1つの革新的側面は、遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定する、タスク要求と、タスク実行のための場所を規定する、識別子とを受信するアクションと、遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、タスク要求に基づいて、要求されるタスクおよび要求されるタスクのためのタスク実行のための場所が、オンプレミスCAデバイスにあることを決定するアクションと、要求されるタスクおよびタスクの場所がオンプレミスCAデバイスにあることを決定するアクションに応答して、遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、タスク要求をタスク実行のための場所にリンクさせる、要求タスクデータエントリを記憶するアクションと、遠隔CAゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供するアクションであって、遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介してオンプレミスCAゲートウェイとの一定の通信接続を維持する、アクションと、通知に応答して、オンプレミスCAゲートウェイからオンプレミスCAデバイスに、タスク実行のために要求されるタスクを提供するアクションとを含む、コンピュータ実装方法において具現化されることができる。
これらおよび他の実施形態はそれぞれ、随意に、以下の特徴のうちの1つまたはそれを上回るものを含むことができる。
いくつかの側面では、オンプレミスCAゲートウェイは、タスク要求を受信することに先立って、遠隔CAゲートウェイプラグインモジュールとの一定の通信接続を開始する。
いくつかの側面では、永続的なクライアント開始通信プロトコルは、WebSocketプロトコルに基づく。いくつかの側面では、永続的なクライアント開始通信プロトコルは、ロングポーリング通信プロトコルに基づく。
いくつかの側面では、本方法はさらに、オンプレミスCAゲートウェイにおいて、オンプレミスCAデバイスから、オンプレミスCAデバイスによるタスク実行に基づく、タスク結果を受信することと、遠隔CAゲートウェイプラグインモジュールにおいて、オンプレミスCAゲートウェイから永続的なクライアント開始通信プロトコルを介して、タスク結果を受信することと、遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、タスク結果を記憶することと、遠隔CAゲートウェイプラグインモジュール上のタスク割当インターフェースによって、タスク結果がデータ記憶デバイス内に受信されたことを決定することと、遠隔CAゲートウェイコアによって、CLMアプリケーションを介してユーザデバイスにタスク結果を提供することとを含む。
いくつかの側面では、オンプレミスCAゲートウェイは、クライアント接続マネージャを含み、遠隔CAゲートウェイプラグインモジュールは、クライアント接続受信機を含む。
いくつかの側面では、オンプレミスCAゲートウェイは、CAゲートウェイプラグインモジュールと、遠隔CAゲートウェイプラグインモジュールとの一定の通信接続を管理するように構成される、CA管理ゲートウェイモジュールとを含み、CAゲートウェイプラグインモジュールは、オンプレミスCAデバイスと通信する。
いくつかの側面では、1つまたはそれを上回るクライアントサーバは、オンプレミスCAゲートウェイを含む。いくつかの側面では、遠隔CAゲートウェイプラグインモジュールは、データ記憶デバイス内に要求タスクデータを記憶するように構成される、タスク割当インターフェースを含む。
いくつかの側面では、遠隔CAゲートウェイプラグインモジュールは、キャッシュAPIを含み、オンプレミスCAゲートウェイは、キャッシュAPIにアクセスし、遠隔CAゲートウェイプラグインモジュール上にホストされるインベントリおよび構成データを同期化するように構成される、同期化装置を含む。
本明細書に説明される主題の特定の実施形態は、以下の利点のうちの1つまたはそれを上回るものを実現するように実装されることができる。例えば、本明細書に議論されるシステムおよび方法は、CA使用法パターンを達成するための機構を提供しながら、顧客環境内に展開される単一のソフトウェアのみを要求し、これは、CAゲートウェイ環境に戻るアウトバウンド接続のみを行い、本明細書に議論される「通信開始」要件を本質的に逆転させる。加えて、プライベートエンティティネットワークからクラウドによってホストされるサービスへのアウトバウンド接続は、CAへのインバウンド接続を可能にすることよりも、許容可能であり、セキュアである。
いくつかの実装によると、デバイスは、1つまたはそれを上回るプロセッサと、非一過性メモリと、1つまたはそれを上回るプログラムとを含み、1つまたはそれを上回るプログラムは、非一過性メモリ内に記憶され、1つまたはそれを上回るプロセッサによって実行されるように構成され、1つまたはそれを上回るプログラムは、本明細書に説明される方法のうちのいずれかを実施する、またはその実施を引き起こすための命令を含む。いくつかの実装によると、非一過性コンピュータ可読記憶媒体は、デバイスの1つまたはそれを上回るプロセッサによって実行されると、本デバイスに、本明細書に説明される方法のうちのいずれかを実施させる、またはその実施を引き起こさせる、命令をその中に記憶している。いくつかの実装によると、デバイスは、1つまたはそれを上回るプロセッサと、非一過性メモリと、本明細書に説明される方法のうちのいずれかを実施する、またはその性能を引き起こすための手段とを含む。
前述の主題の種々の特徴および利点が、図に関して下記に説明される。付加的な特徴および利点が、本明細書および請求項に説明される主題から、明白である。
本発明は、例えば、以下を提供する。
(項目1)
コンピュータ実装方法であって、
遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定するタスク要求と、タスク実行のための場所を規定する識別子とを受信することと、
遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、前記タスク要求に基づいて、前記要求されるタスクおよび前記要求されるタスクのためのタスク実行のための前記場所が、オンプレミスCAデバイスにあることを決定することと、
前記要求されるタスクおよび前記タスクの場所が前記オンプレミスCAデバイスにあることを決定することに応答して、前記遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、前記タスク要求をタスク実行のための前記場所にリンクさせる要求タスクデータエントリを記憶することと、
前記遠隔CAゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供することであって、前記遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介して前記オンプレミスCAゲートウェイとの一定の通信接続を維持する、ことと、
前記通知に応答して、前記オンプレミスCAゲートウェイから前記オンプレミスCAデバイスに、タスク実行のために前記要求されるタスクを提供することと
を含む、コンピュータ実装方法。
(項目2)
前記オンプレミスCAゲートウェイは、前記タスク要求を受信することに先立って、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を開始する、項目1に記載のコンピュータ実装方法。
(項目3)
前記永続的なクライアント開始通信プロトコルは、WebSocketプロトコルに基づく、項目1に記載のコンピュータ実装方法。
(項目4)
前記永続的なクライアント開始通信プロトコルは、ロングポーリング通信プロトコルに基づく、項目1に記載のコンピュータ実装方法。
(項目5)
前記オンプレミスCAゲートウェイにおいて、前記オンプレミスCAデバイスから、前記オンプレミスCAデバイスによる前記タスク実行に基づくタスク結果を受信することと、
前記遠隔CAゲートウェイプラグインモジュールにおいて、前記オンプレミスCAゲートウェイから前記永続的なクライアント開始通信プロトコルを介して、前記タスク結果を受信することと、
前記遠隔CAゲートウェイプラグインモジュール上の前記データ記憶デバイス内に、前記タスク結果を記憶することと、
前記遠隔CAゲートウェイプラグインモジュール上のタスク割当インターフェースによって、前記タスク結果が前記データ記憶デバイス内に受信されたことを決定することと、
前記遠隔CAゲートウェイコアによって、前記CLMアプリケーションを介して前記ユーザデバイスに前記タスク結果を提供することと
をさらに含む、項目1に記載のコンピュータ実装方法。
(項目6)
前記オンプレミスCAゲートウェイは、クライアント接続マネージャを備え、前記遠隔CAゲートウェイプラグインモジュールは、クライアント接続受信機を備える、項目1に記載のコンピュータ実装方法。
(項目7)
前記オンプレミスCAゲートウェイは、CAゲートウェイプラグインモジュールと、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を管理するように構成されるCA管理ゲートウェイモジュールとを備え、前記CAゲートウェイプラグインモジュールは、前記オンプレミスCAデバイスと通信する、項目1に記載のコンピュータ実装方法。
(項目8)
前記1つまたはそれを上回るクライアントサーバは、前記オンプレミスCAゲートウェイを備える、項目1に記載のコンピュータ実装方法。
(項目9)
前記遠隔CAゲートウェイプラグインモジュールは、前記データ記憶デバイス内に前記要求タスクデータを記憶するように構成されるタスク割当インターフェースを備える、項目1に記載のコンピュータ実装方法。
(項目10)
前記遠隔CAゲートウェイプラグインモジュールは、キャッシュAPIを備え、前記オンプレミスCAゲートウェイは、前記キャッシュAPIにアクセスし、前記遠隔CAゲートウェイプラグインモジュール上にホストされるインベントリおよび構成データを同期化するように構成される同期化装置を備える、項目1に記載のコンピュータ実装方法。
(項目11)
システムであって、
データ処理装置と、
前記データ処理装置とデータ通信している非一過性コンピュータ可読記憶媒体であって、前記非一過性コンピュータ可読記憶媒体は、前記データ処理装置によって実行可能な命令を記憶し、そのような実行に応じて、前記データ処理装置に、
遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定するタスク要求と、タスク実行のための場所を規定する識別子とを受信することと、
遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、前記タスク要求に基づいて、前記要求されるタスクおよび前記要求されるタスクのためのタスク実行のための前記場所が、オンプレミスCAデバイスにあることを決定することと、
前記要求されるタスクおよび前記タスクの場所が前記オンプレミスCAデバイスにあることを決定することに応答して、前記遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、前記タスク要求をタスク実行のための前記場所にリンクさせる要求タスクデータエントリを記憶することと、
前記遠隔証明機関ゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供することであって、前記遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介して前記オンプレミスCAゲートウェイとの一定の通信接続を維持する、ことと、
前記通知に応答して、前記オンプレミスCAゲートウェイから前記オンプレミスCAデバイスに、タスク実行のために前記要求されるタスクを提供することと
を含む動作を実施させる、非一過性コンピュータ可読記憶媒体と
を備える、システム。
(項目12)
前記オンプレミスCAゲートウェイは、前記タスク要求を受信することに先立って、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を開始する、項目11に記載のシステム。
(項目13)
前記永続的なクライアント開始通信プロトコルは、WebSocketプロトコルに基づく、項目11に記載のシステム。
(項目14)
前記永続的なクライアント開始通信プロトコルは、ロングポーリング通信プロトコルに基づく、項目11に記載のシステム。
(項目15)
前記オンプレミスCAゲートウェイは、クライアント接続マネージャを備え、前記遠隔CAゲートウェイプラグインモジュールは、クライアント接続受信機を備える、項目11に記載のシステム。
(項目16)
前記オンプレミスCAゲートウェイはさらに、
前記オンプレミスCAデバイスから、前記オンプレミスCAデバイスによる前記タスク実行に基づくタスク結果を受信する
ように構成される、項目11に記載のシステム。
(項目17)
前記動作はさらに、
前記遠隔CAゲートウェイプラグインモジュールにおいて、前記オンプレミスCAゲートウェイから前記永続的なクライアント開始通信プロトコルを介して、前記タスク結果を受信することと、
前記遠隔CAゲートウェイプラグインモジュール上の前記データ記憶デバイス内に、前記タスク結果を記憶することと、
前記遠隔CAゲートウェイプラグインモジュール上のタスク割当インターフェースによって、前記タスク結果が前記データ記憶デバイス内に受信されたことを決定することと、
前記遠隔CAゲートウェイコアによって、前記CLMアプリケーションを介して前記ユーザデバイスに前記タスク結果を提供することと
を含む、項目11に記載のシステム。
(項目18)
前記オンプレミスCAゲートウェイは、前記遠隔CAゲートウェイプラグインとの前記一定の通信接続を管理するように構成されるCA管理ゲートウェイモジュールと、前記オンプレミスCAデバイスと通信するCAゲートウェイプラグインモジュールとを備える、項目11に記載のシステム。
(項目19)
コンピュータプログラムを用いてエンコードされる非一過性コンピュータ記憶媒体であって、前記コンピュータプログラムは、命令を含み、前記命令は、1つまたはそれを上回るデータ処理装置によって実行されると、データ処理装置に、
遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定するタスク要求と、タスク実行のための場所を規定する識別子とを受信することと、
遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、前記タスク要求に基づいて、前記要求されるタスクおよび前記要求されるタスクのためのタスク実行のための前記場所が、オンプレミスCAデバイスにあることを決定することと、
前記要求されるタスクおよび前記タスクの場所が前記オンプレミスCAデバイスにあることを決定することに応答して、前記遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、前記タスク要求を前記タスク実行のための場所にリンクさせる要求タスクデータエントリを記憶することと、
前記遠隔CAゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供することであって、前記遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介して前記オンプレミスCAゲートウェイとの一定の通信接続を維持する、ことと、
前記通知に応答して、前記オンプレミスCAゲートウェイから前記オンプレミスCAデバイスに、タスク実行のために前記要求されるタスクを提供することと
を含む動作を実施させる、非一過性コンピュータ記憶媒体。
(項目20)
前記オンプレミスCAゲートウェイは、前記タスク要求を受信することに先立って、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を開始する、項目19に記載の非一過性コンピュータ記憶媒体。
図1は、本開示の実施例による、デバイス上のCLMアプリケーションがクラウドベースのCAゲートウェイおよびオンプレミスに位置するCA管理ゲートウェイプラグインを通してオンプレミスCAに通信する、例示的環境である。
図2は、本開示の実施例による、クラウドベースのCAゲートウェイプロトコルを利用してデバイス上のCLMアプリケーションとオンプレミスCAとの間で通信するための方法のタイミング図を図示する。
図3は、クラウドベースのCAゲートウェイおよびオンプレミスに位置するCA管理ゲートウェイプラグインを介してオンプレミスCAにデータを提供するための例示的プロセスのフローチャートである。
図4は、本明細書に説明される実施形態による、本明細書に説明されるソフトウェアコンポーネントを実行することが可能であるコンピュータのための例示的コンピュータアーキテクチャを示す、ブロック図である。
種々の図面における同様の参照番号および記号は、同様の要素を示す。
詳細な説明
本開示は、以下の詳細な説明、実施例、図面、および請求項を参照することによってより容易に理解されることができる。しかしながら、本デバイス、システム、および/または方法が、開示および説明される前に、本開示が、別様に規定されない限り、開示される具体的なデバイス、システム、および/または方法に限定されず、したがって、当然ながら、変動し得ることを理解されたい。また、本明細書に使用される専門用語が、特定の側面を説明する目的のためのものにすぎず、限定することを意図していないことも理解されたい。
クラウドによってホストされる環境内の証明機関(CA)と証明書ライフサイクル管理(CLM)システムとの間のセキュアな通信を促進することと関連付けられる問題に対処するために、本開示は、CAソフトウェアが典型的に置かれている、機密性の高いネットワーク環境を、CLMソフトウェアがホストされるクラウド環境にブリッジさせるための機構を提供する。本アプローチは、機密性の高いCAデータセンターからのアウトバウンドネットワーク接続を使用しながら、CLMシステムが、CLMユースケースが指示するリアルタイムの動的方式においてCAを使用することを可能にする。WebSocketプロトコル、ロングポーリングプロトコル、および同等物等のクライアント開始通信プロトコルが、タスク管理および調整およびゲートウェイフレームワークと併せて活用され、永続的なクライアント開始通信のための目標を達成し得る。
図1は、CLMシステムがクラウド環境内のCAゲートウェイを通してオンプレミスCAにタスク要求を通信する、例示的環境100である。例示的環境100は、ユーザデバイス110と、1つまたはそれを上回るCAゲートウェイクラウドベースサーバ120と、データ通信ネットワーク102、例えば、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、モバイルネットワーク、またはそれらの組み合わせを経由して通信する、1つまたはそれを上回るクライアントサーバ150とを含む。加えて、例示的環境100は、1つまたはそれを上回るクライアントサーバ150上に記憶され得る、またはクライアントの地点における別個のデバイスまたはサーバとしての、オンプレミスCAデバイス170を含む。
ユーザデバイス110は、デスクトップ、ラップトップ、サーバ、またはスマートフォン、タブレット型コンピュータ、ウェアラブルデバイス(例えば、スマートウォッチ)、車内コンピューティングデバイス、および/または他のタイプのモバイルデバイス等のモバイルデバイスを含むことができる。ユーザデバイス110は、1つまたはそれを上回るCAゲートウェイクラウドベースサーバ120における遠隔CAゲートウェイコア122へのタスク要求およびそこからのタスク結果データを管理するための、CLMアプリケーション112等のアプリケーションを含む。ユーザデバイス110は、他のアプリケーションを含むこともできる。
1つまたはそれを上回るCAゲートウェイクラウドベースサーバ120は、1つまたはそれを上回るユーザデバイスからのCLMアプリケーションから受信される、タスク要求の場所を管理する。1つまたはそれを上回るCAゲートウェイクラウドベースサーバ120のタスク管理プロトコルは、タスクが、1つのクライアントサーバ150によって取り扱われるように、複数のクライアント(例えば、クライアントサーバ150)を管理することによって、冗長な負荷平衡化システムに基づく。例えば、要求されるタスクにサービス提供することが可能である、複数のクライアントが、存在し得、冗長な負荷平衡化システムは、タスクが有能なクライアントのうちの厳密に1つによって実施されることを確実にすることに関わる。
1つまたはそれを上回るCAゲートウェイクラウドベースサーバ120は、遠隔CAゲートウェイコア122と、遠隔CAゲートウェイプラグイン130とを含む。遠隔CAゲートウェイコア122は、CLMプラットフォームに(例えば、CLMアプリケーション112を介してユーザデバイス110に)、標準化されたインターフェースを提示し、CA固有のプラグインが、所与のCAタイプに対して必要な機能を実施することを可能にする。クラウド環境内にホストされる遠隔CAゲートウェイプラグイン130は、タスク要求およびタスク結果を記憶するためのCAタスクデータベース140と、CAタスクデータベース140と通信する、タスク割当API132とを含む。遠隔CAゲートウェイプラグイン130はまた、タスクを実行するために受信された各タスク要求(例えば、タスク実行のための場所データ)の必要な詳細を処理し得る、タスク選別API132も含む。
遠隔CAゲートウェイプラグイン130はさらに、永続的なクライアント開始通信プロトコルに基づくクライアント接続マネージャ166を介して、別のシステム(例えば、オンプレミスCAゲートウェイ160)との永続的なクライアント開始通信を提供するための、クライアント接続受信機138を含む。いくつかの実装では、WebSocketプロトコルが、永続的なクライアント開始通信のために使用されてもよい。WebSocketプロトコルは、単一のTCP接続を経由して全二重通信チャネルを提供する、コンピュータ通信プロトコルである。加えて、または代替として、ロングポーリング通信プロトコルが、永続的なクライアント開始通信のために使用されてもよい。「ロングポーリング」技法は、サーバが、可能な限り長い時間にわたって、クライアントの接続を開放された状態に保持し、データが入手可能な状態になる、またはタイムアウト閾値が、到達されて初めて応答を送達することを採択するものである。
クラウド環境内のクライアント接続受信機138が、要求タスクが実行のためにCAタスクデータベース140内に出現したことを認めると、クライアント接続受信機138は、永続的なクライアント開始通信接続を使用して、オンプレミスCAゲートウェイ160におけるオンプレミスCA管理ゲートウェイ162に通知することができる。永続的なクライアント開始通信プロトコル(すなわち、WebSocket、ロングポーリング等)は、クラウドによってホストされるサーバが可能な限り長くクライアント接続を開放した状態に保持し、データ(例えば、CA照合等のタスク結果)が入手可能な状態になる、またはタイムアウト閾値(例えば、1分を上回る長さ)が到達して初めて応答を送達する、技法を提供する。応答を受信した後、クライアントシステムは、即座に次の要求を送信することができる。いくつかの実装では、クライアント側において、単一の要求が、管理される。応答が、受信されると、クライアントは、新しい要求を開始し、本プロセスを必要な回数繰り返すことができる。
遠隔CAゲートウェイプラグイン130はさらに、オンプレミスにホストされたオンプレミスCAゲートウェイ160についての構成情報および任意の状態情報の通信が、クラウド環境内に記憶されることを可能にする、キャッシュAPI134を含む。例えば、構成情報、タスク要求/結果データ、および同等物は、クラウド環境内の遠隔CAゲートウェイプラグインモジュール130において一元的に管理されることができる。CAゲートウェイプラグイン168は、本情報にアクセスする必要があるときには随時、CA管理ゲートウェイ162におけるインベントリおよび構成同期化装置(例えば、同期化装置164)と通信することができる。CA管理ゲートウェイ162は、必要に応じてホストされるクラウド環境からデータをフェッチするために遠隔CAゲートウェイプラグイン130におけるキャッシュAPI134へのアクセスによってバックアップされる、メモリ内キャッシュを含む。
1つまたはそれを上回るクライアントサーバは、遠隔CAゲートウェイプラグイン130を管理し、それと通信する、オンプレミスCAゲートウェイ160をホストすることができる。本開示の全体を通して使用される、用語「オンプレミス」は、本明細書に議論されるCAモジュール(例えば、オンプレミスCAゲートウェイ160)が、1つまたはそれを上回るクライアントサーバ150にインストールされるような、クライアントの地点に物理的に位置する、サーバ、デバイス、システム等を指す。オンプレミスCAゲートウェイ160は、CA管理ゲートウェイ162と、CAゲートウェイプラグイン168とを含む。CA管理ゲートウェイ162は、クライアント接続受信機138との永続的な通信のための、同期化装置164と、クライアント接続マネージャ166とを含む。同期化装置164は、必要に応じてホストされるクラウド環境からデータをフェッチするために遠隔CAゲートウェイプラグイン130におけるキャッシュAPI134へのアクセスによってバックアップされる、メモリ内キャッシュを含む。CAゲートウェイプラグイン168は、CA管理ゲートウェイ162とオンプレミスCAゲートウェイデバイス170上のCAアプリケーション172との間の通信を管理する。
例示的実装では、CA管理ゲートウェイサービス(例えば、オンプレミスCAゲートウェイ160)が、1つまたはそれを上回るクライアントサーバ150においてインストールされ、オンにされると、CA管理ゲートウェイ162は、ネットワーク接続を開始する。例えば、CA管理ゲートウェイ162は、クライアント接続マネージャ166を介して、ネットワーク102を通してクラウド環境内のクライアント接続受信機138へのネットワーク接続を確立する。本永続的なクライアント開始通信は、クライアント接続受信機138が、CA管理ゲートウェイ162が構成されたこと、接続されたこと、およびタスクを受信する準備ができたことを、CAタスクデータベース140内に記録することを可能にする。いくつかの実装では、WebSocketプロトコルが、永続的なクライアント開始通信のために使用されてもよい。WebSocketプロトコルは、単一のTCP接続を経由して全二重通信チャネルを提供する、コンピュータ通信プロトコルである。加えて、または代替として、ロングポーリング通信プロトコルが、永続的なクライアント開始通信のために使用されてもよい。「ロングポーリング」技法は、サーバが、可能な限り長い時間にわたって、クライアントの接続を開放された状態に保持し、データが入手可能な状態になる、またはタイムアウト閾値が、到達されて初めて応答を送達することを採択するものである。
本時点において(例えば、永続的なクライアント開始通信が確立された後)、クライアント接続マネージャ166およびクライアント接続受信機138は、CA管理ゲートウェイ162が、タスクが実行される準備ができたときに通知され得るように、一定の接続を維持する。CA管理ゲートウェイ162サービスが、任意の理由(機械再始動等)のために停止されると、本永続的なクライアント開始通信接続は、切断され、クライアント接続受信機138が、CA管理ゲートウェイ162を、CAタスクデータベース140内でタスクを受信し、実行することが対応不可能であるものとしてマーキングすることを可能にするであろう。
いくつかの実装では、クラウドによってホストされる証明書ライフサイクル管理システム(例えば、CAゲートウェイクラウドベースサーバ120)とオンサイトCAシステムとの間の通信を管理する例示的実行が、CLMシステムがオンサイトCAシステム(例えば、オンプレミスCA170)においてタスクを実行するためのタスク要求を送信すると、開始され得る。例えば、CLMアプリケーション112を使用するユーザデバイス110は、タスク詳細を用いてクラウド環境(例えば、CAゲートウェイクラウドベースサーバ120)内の遠隔CAゲートウェイコア122にコンタクトする。これは、クラウド環境内の遠隔CAゲートウェイプラグイン130に、タスク割当API132を利用させ、CAタスクデータベース140内に未処理のタスクを設置させる。遠隔CAゲートウェイプラグイン130におけるクライアント接続受信機138が、タスクが実行のためにCAタスクデータベース140内に出現したことを認めると、クライアント接続受信機138は、既存の接続(例えば、永続的なクライアント開始通信プロトコル)を使用して、クライアント接続マネージャ166を介してクライアントサーバ150におけるCA管理ゲートウェイ162に通知する。CA管理ゲートウェイ162は、次いで、遠隔CAゲートウェイプラグイン130におけるタスク選別API136と通信し、それを使用し、タスクを実行するための必要な詳細(例えば、タスク実行のための場所データ)を得ることができる。タスクは、次いで、クライアントサーバ150におけるCAゲートウェイプラグイン168を呼び出すことによって実行され、これは、ひいては、オンプレミスCAデバイス170におけるCAアプリケーション172と通信する。
加えて、オンプレミスCAデバイス170からの結果が、本例示的通信経路を逆に辿ることができる。例えば、CAアプリケーション172からのタスク結果が、CAゲートウェイプラグイン168を通してCA管理ゲートウェイ162に通信されることができる。タスク選別API136は、タスク結果データをCAタスクデータベース140内に追加することができる。タスク割当API132は、タスク結果データがCAタスクデータベース140内に記憶されていることを認めた後、次いで、タスク結果をCAゲートウェイコア122を介してタスク要求の発信者に返すことができる。CAゲートウェイコア122は、次いで、タスク結果(例えば、CA照合データ)をCLMシステム(例えば、CLMアプリケーション112を介してユーザデバイス110)に戻るように通信することができる。本プロセスは、CLMシステムに同期すると考えられ、そのため、双方向使用のために非常に好適である。例えば、エンドユーザは、後続の時間においてCAとの通信に戻る必要なく、永続的なクライアント開始通信プロトコルを介して要求された直後に、要求されるタスクの成功および/または失敗を受信する。
いくつかの実装では、例示的環境100のコンポーネント、サーバ、デバイス等のうちの1つまたはそれを上回るものが、ハイパーバイザまたはコンテナのいずれかを使用して仮想化される。例えば、ハイパーバイザは、ハイパーバイザが異なる仮想機械を管理するホストオペレーティングシステムの上で実行される、完全オペレーティングシステムを利用してもよく、各仮想機械は、異なるオペレーティングシステムを利用してもよい。コンテナベースの仮想化(オペレーティングシステム仮想化とも称される)は、ゲストオペレーティングシステム全体を実行するように試行する代わりに、ホストオペレーティングシステムを利用して、本プロセスを隔離する。各コンテナは、各仮想環境に対応する。オペレーティングシステムは、仮想環境間のプロセス隔離を提供し、リソース管理を実施し、各プロセス、すなわち、各仮想環境または各コンテナのために、その独自のファイルシステム、メモリ、およびデバイスを指定する。
図2は、本開示の実施例による、永続的なクライアント開始通信プロトコルを介した、クラウドによってホストされる証明書ライフサイクル管理システムを介した要求からオンプレミスCAにおいてタスクを実行するための方法のタイミング図200を図示する。タスク要求データメッセージが、デバイス110において発生され、そこからクラウドベースサーバ120に伝送される。しかしながら、クライアントサーバ150がCA管理ゲートウェイを介したクラウドベースサーバ120への永続的な通信プロトコルを開始するまで、クラウドベースサーバ120は、対応不可能通知を返すであろう。例えば、CA管理ゲートウェイ162サービスが、任意の理由(機械再始動等)のために停止されると、本永続的なクライアント開始通信接続は、切断され、クライアント接続受信機138が、CA管理ゲートウェイ162を、CAタスクデータベース140内でタスクを受信し、実行することが対応不可能であるものとしてマーキングすることを可能にするであろう。
一定の通信接続が、クライアントサーバ150とクラウドベースサーバ120によって開始された後、次いで、タスク要求が、本システムによって処理されることができる。したがって、図2に図示されるように、タスク要求データメッセージが、デバイス110において発生され、そこからクラウドベースサーバ120に伝送され、その時点で、永続的なクライアント開始通信接続がオンであるため、タスク要求データメッセージは、事実上、クライアントサーバ150およびオンプレミスCAデバイス170に送信される。CAデバイス170は、クライアントサーバ150、クラウドベースサーバ120を通して、デバイス110に戻るように、実行されたタスク結果メッセージを用いてタスク要求メッセージに応答する。例えば、本明細書において議論されるように、CLMシステムは、オンプレミスCA上でタスクを実行する必要があるとき、タスク詳細を用いてクラウド環境内のCAゲートウェイにコンタクトする。これは、クラウド環境内の遠隔CAゲートウェイプラグインに、タスク割当APIを利用させ、CAタスクデータベース内に未処理のタスクを設置させる。遠隔CAゲートウェイプラグインにおけるクライアント接続受信機が、タスクが実行のためにデータベース内に出現したことを認めると、クライアント接続受信機は、既存の一定のクライアント接続(例えば、WebSocketプロトコル、ロングポーリングプロトコル等の永続的なクライアント開始通信プロトコル)を使用して、クライアントサーバ150におけるCA管理ゲートウェイに通知する。CA管理ゲートウェイは、次いで、遠隔CAゲートウェイプラグインにおけるタスク選別APIと通信し、それを使用し、タスクを実行するための必要な詳細(例えば、タスク実行のための場所データ)を得ることができる。タスクは、次いで、クライアントサーバ150におけるCAゲートウェイプラグインを呼び出すことによって実行され、これは、ひいては、オンプレミスCAと通信する。オンプレミスCAからの結果が、次いで、本経路を逆に辿り、CAゲートウェイプラグインを通してタスク選別APIまで逆に辿る。タスク結果データは、次いで、CAタスクデータベース内に設置され、その場合、タスク割当APIが、次いで、クラウドベースサーバ120内のCAゲートウェイコア内の発信者に結果を返すことができ、これは、ひいては、タスク結果(例えば、CA照合データ)をCLMシステム(例えば、CLMアプリケーション112を介してユーザデバイス110)に戻すように通信する。
図3は、クラウドによってホストされるCLMからオンプレミスCAへの通信のためのシステムを管理するための例示的プロセス300のフローチャートを図示する。プロセス300の動作は、例えば、図1の1つまたはそれを上回るCAゲートウェイクラウドベースサーバ120、および1つまたはそれを上回るクライアントサーバ150上のオンプレミスCAゲートウェイ160等の1つまたはそれを上回るデータ処理装置を含む、システムによって実装されることができる。プロセス300はまた、コンピュータ記憶媒体上に記憶される命令によって実装されることができ、その場合、データ処理装置を含むシステムによる命令の実行が、データ処理装置にプロセス300の動作を実施させる。
例示的実装では、1つまたはそれを上回るCAゲートウェイクラウドベースサーバが、1つまたはそれを上回るユーザデバイスからのCLMアプリケーションから受信されるタスク要求の場所を管理する。1つまたはそれを上回るCAゲートウェイクラウドベースサーバのタスク管理プロトコルは、タスクが、クライアントの地点におけるオンプレミスCAゲートウェイによって取り扱われるように、複数のクライアントを管理することによって、冗長な負荷平衡化システムに基づく。例えば、要求されるタスクにサービス提供することが可能である、複数のクライアントが、存在し得、プロセス300の冗長な負荷平衡化システムは、タスクが有能なクライアントのうちの厳密に1つによって実施されることを確実にすることに関わる。
本システムは、オンプレミスCAゲートウェイから一定の通信接続初期化を受信する(302)。一定の通信接続初期化は、クラウドベースサーバ上の遠隔証明機関ゲートウェイプラグインモジュールにおける、クライアント接続受信機(例えば、クライアント接続受信機138)によって受信されてもよい。一定の通信接続は、クラウドサーバとクライアントの地点におけるオンプレミスCAゲートウェイとの間に永続的なクライアント開始通信を提供する。いくつかの実装では、WebSocketプロトコルは、永続的なクライアント開始通信のために使用されてもよい。WebSocketプロトコルは、単一のTCP接続を経由して全二重通信チャネルを提供する、コンピュータ通信プロトコルである。加えて、または代替として、ロングポーリング通信プロトコルが、永続的なクライアント開始通信のために使用されてもよい。「ロングポーリング」技法は、サーバが、可能な限り長い時間にわたって、クライアントの接続を開放された状態に保持し、データが入手可能な状態になる、またはタイムアウト閾値が、到達されて初めて応答を送達することを採択するものである。
本システムは、要求されるタスクを規定する、タスク要求と、タスク実行のための場所を規定する、識別子とを受信する(304)。タスク要求は、遠隔CAゲートウェイコア(例えば、遠隔CAゲートウェイコア122)によって、ユーザデバイス上にインストールされる、CLMアプリケーション(例えば、ユーザデバイス110上のCLMアプリケーション112)から受信されてもよい。例えば、CLMシステムが、オンプレミスCA上でタスクを実行する必要があるとき、CLMシステムは、タスク詳細を用いてクラウド環境内のCAゲートウェイにコンタクトする。
本システムは、要求されるタスクおよび要求されるタスクのためのタスク実行のための場所がオンプレミスCAデバイスにあることを決定する(306)。本システムは、要求されるタスクおよび遠隔CAゲートウェイプラグインモジュール(例えば、遠隔CAゲートウェイプラグインモジュール130)上のタスク選別インターフェース(例えば、タスク選別API136)によって要求されるタスクのためのタスク実行のための場所を決定してもよい。例えば、タスク詳細を用いてクラウド環境内のCAゲートウェイにコンタクトすることが、タスク割当APIと通信するように遠隔CAゲートウェイプラグインを開始させる。
要求されるタスクおよびタスクの場所がオンプレミスCAデバイスにあることを決定することに応答して、本システムは、タスク要求をタスク実行のための場所にリンクさせる、要求タスクデータエントリを記憶する(308)。本システムは、遠隔CAゲートウェイプラグインモジュール(例えば、遠隔CAゲートウェイプラグインモジュール130)上のデータ記憶デバイス(例えば、CAタスクデータベース140)内に要求タスクデータエントリを記憶してもよい。例えば、タスク詳細を用いてクラウド環境内のCAゲートウェイにコンタクトすることが、タスク割当APIを使用し、CAタスクデータベース内に未処理のタスクを設置するように遠隔CAゲートウェイプラグインを開始させる。
本システムは、永続的なクライアント開始通信プロトコルを介して通知を提供する(310)。通知は、遠隔CAゲートウェイプラグインモジュール(例えば、遠隔CAゲートウェイプラグインモジュール130)から1つまたはそれを上回るクライアントサーバ上のオンプレミスCAゲートウェイ(例えば、1つまたはそれを上回るクライアントサーバ150上のオンプレミスCAゲートウェイ160)に提供されてもよい。いくつかの実装では、遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介してオンプレミスCAゲートウェイとの一定の通信接続を維持する。いくつかの実装では、永続的なクライアント開始通信プロトコルは、WebSocket通信プロトコルに基づく。代替として、いくつかの実装では、永続的なクライアント開始通信プロトコルは、ロングポーリング通信プロトコルに基づく。例えば、CAゲートウェイクラウド環境内のクライアント接続受信機(例えば、クライアント接続受信機138)が、要求タスクが実行のためにCAタスクデータベース内に出現したことを認めると、クライアント接続受信機は、既存の永続的なクライアント接続を使用して、CA管理ゲートウェイ(例えば、オンプレミスCAゲートウェイ160上のオンプレミスCA管理ゲートウェイ162)に通知する。
通知の提供に応答して、本システムは、オンプレミスCAデバイスに、タスク実行のために要求されるタスクを提供する(312)。要求されるタスクは、1つまたはそれを上回るクライアントサーバによってオンサイトにホストされるオンプレミスCAゲートウェイ(例えば、オンプレミスCAゲートウェイ160)からオンプレミスCAデバイス(例えば、オンプレミスCAデバイス170)に提供されてもよい。
いくつかの実装では、プロセス300はさらに、オンプレミスCAゲートウェイにおいて、オンプレミスCAデバイスから、オンプレミスCAデバイスによるタスク実行に基づく、タスク結果を受信することと、遠隔CAゲートウェイプラグインモジュールにおいて、永続的なクライアント開始通信プロトコルを介して、タスク結果を受信することと、データ記憶デバイス内に、タスク結果を記憶することと、タスク結果がデータ記憶デバイス内に受信されたことを決定することと、ユーザデバイスにタスク結果を提供することとを含む。例えば、CAからのタスク結果が、タスク要求経路を逆に辿り、CAゲートウェイプラグインを通してタスク選別APIまで逆に辿る。結果データは、次いで、CAタスクデータベース内に記憶されてもよく、その場合、タスク割当APIは、CAゲートウェイコア内の発信者への返しを開始してもよい。CAゲートウェイコアは、ひいては、タスク結果をCLMシステムに通信する。したがって、本送信および受信プロセスは、CLMシステムに同期すると考えられ、そのため、(例えば、CLMアプリケーション112を利用するユーザデバイス110における)エンドユーザが、後に再びチェックする必要なく、要求された直後に、要求されるタスクの成功/失敗を把握する必要があるため、双方向使用のために非常に好適である。
例示的実装では、CAデータベースは、キャッシュAPIを利用するクラウド環境内にホストされる。キャッシュAPI(例えば、キャッシュAPI134)は、オンプレミスにホストされたCA管理ゲートウェイについての構成情報および任意の状態情報の通信が、クラウド環境内に記憶されることを可能にし、その場合、構成情報、タスク要求/結果データ、および同等物は、クラウド環境内の遠隔CAゲートウェイプラグインモジュールにおいて一元的に管理されることができる。CAゲートウェイプラグインは、本情報にアクセスする必要があるときには随時、CA管理ゲートウェイにおけるインベントリおよび構成同期化装置(例えば、同期化装置164)と通信することができる。CA管理ゲートウェイ(例えば、CA管理ゲートウェイ162)は、必要に応じてホストされるクラウド環境からデータをフェッチするために遠隔CAゲートウェイプラグインにおけるキャッシュAPIへのアクセスによってバックアップされる、メモリ内キャッシュを含む。
図4は、CAコンポーネントのためのタスクの送信/受信および処理のための、本明細書に説明されるソフトウェアコンポーネントを実行することが可能である、コンピュータ402のための例示的コンピュータアーキテクチャ400を図示する。図4に示されるコンピュータアーキテクチャ400(本明細書では「サーバ」とも称される)は、サーバコンピュータ、ワークステーション、デスクトップコンピュータ、ラップトップ、または他のコンピューティングデバイスを例証し、ホストサーバまたは他のコンピューティングプラットフォーム上で実行するものとして説明される、本明細書に提示されるソフトウェアコンポーネントの任意の側面を実行するために利用されてもよい。コンピュータ402は、好ましくは、多数のコンポーネントまたはデバイスがシステムバスまたは他の電気通信経路を介して接続され得るプリント回路基板である、ベース基板、すなわち、「マザーボード」を含む。一例証的実施形態では、1つまたはそれを上回る中央処理ユニット(CPU)404が、チップセット406と連動して動作する。CPU404は、コンピュータ402の動作のために必要な算術および論理動作を実施する、プログラマブルプロセッサであることができる。
CPU404は、好ましくは、これらの状態を区別し、変化させる、切替要素の操作を通して、1つの離散した物理的状態から次のものに遷移することによって、動作を実施する。切替要素は、概して、フリップフロップ等の2つの二元状態のうちの一方を維持する、電子回路と、論理ゲート等の、1つまたはそれを上回る他の切替要素の状態の論理的組み合わせに基づいて出力状態を提供する、電子回路とを含んでもよい。これらの基本的切替要素は、レジスタ、加算器/減算器、算術論理ユニット、浮動小数点ユニット、または同等物を含む、より複雑な論理回路を生成するために組み合わせられてもよい。
チップセット406は、CPU404とベース基板上のコンポーネントおよびデバイスの残部との間にインターフェースを提供する。チップセット406は、メモリ408にインターフェースを提供してもよい。メモリ408は、コンピュータ402内でメインメモリとして使用される、ランダムアクセスメモリ(RAM)を含んでもよい。メモリ408はさらに、コンピュータ402を起動し、種々のコンポーネントとデバイスとの間で情報を伝達することに役立つ、基本ルーチンを記憶するための、読取専用メモリ(ROM)または不揮発性RAM(NVRAM)等のコンピュータ可読記憶媒体を含んでもよい。ROMまたはNVRAMはまた、本明細書に説明される実施形態による、コンピュータ402の動作のために必要な他のソフトウェアコンポーネントを記憶してもよい。
種々の実施形態によると、コンピュータ402は、コンピュータ402を本デバイスおよび他の遠隔コンピュータに接続する、1つまたはそれを上回るネットワーク412、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、または当技術分野において公知である任意の他のネットワーキングトポロジを通した、遠隔コンピューティングデバイスへの論理的接続を使用して、ネットワーク化された環境内で動作してもよい。チップセット406は、ギガビットイーサネット(登録商標)アダプタ等の1つまたはそれを上回るネットワークインターフェースコントローラ(NIC)410を通してネットワークコネクティビティを提供するための機能性を含む。例えば、NIC410は、コンピュータ402をユーティリティプロバイダのシステム内の他のコンピュータデバイスに接続することが可能であってもよい。コンピュータを本明細書に説明されるもの以外の他のタイプのネットワークおよび遠隔コンピュータシステムに接続する、任意の数のNIC410が、コンピュータ402内に存在し得ることを理解されたい。
コンピュータ402は、コンピュータ402のための不揮発性記憶装置を提供する、少なくとも1つの大容量記憶デバイス418に接続されてもよい。大容量記憶デバイス418は、本明細書により詳細に説明される、システムプログラム、アプリケーションプログラム、他のプログラムモジュール、およびデータを記憶してもよい。大容量記憶デバイス418は、チップセット406に接続される記憶装置コントローラ414を通して、コンピュータ402に接続されてもよい。大容量記憶デバイス418は、1つまたはそれを上回る物理的記憶ユニットから成ってもよい。記憶装置コントローラ414は、コンピュータと物理的記憶デバイスとの間を物理的に接続し、その間でデータを伝達するために、シリアル接続SCSI(SAS)インターフェース、シリアル高度技術アタッチメント(SATA)インターフェース、ファイバチャネル(FC)インターフェース、または他の標準インターフェースを通して、物理的記憶ユニットとインターフェースをとってもよい。
コンピュータ402は、記憶されている情報を反映するように物理的記憶ユニットの物理状態を変換することによって、大容量記憶デバイス418上にデータを記憶してもよい。物理状態の具体的な変換は、本説明の異なる実装の種々の要因に依存し得る。そのような要因の実施例は、限定ではないが、物理的記憶ユニットを実装するために使用される技術、大容量記憶デバイス418が、一次または二次記憶装置として特徴付けられているかどうか、または同等物を含み得る。例えば、コンピュータ402は、磁気ディスクドライブユニット内の特定の場所の磁気特性、光学記憶ユニット内の特定の場所の反射または屈折特性、ソリッドステート記憶ユニット内の特定のコンデンサ、トランジスタ、または他の離散コンポーネントの電気特性を改変するための命令を記憶装置コントローラ414を通して発行することによって、情報を大容量記憶デバイス418に記憶してもよい。物理媒体の他の変換も、本説明の範囲および精神から逸脱することなく可能性として考えられ、前述の実施例は、本説明を促進するために提供されるにすぎない。コンピュータ402はさらに、物理的記憶ユニット内の1つまたはそれを上回る特定場所の物理状態または特性を検出することによって、大容量記憶デバイス418から情報を読み取ってもよい。
大容量記憶デバイス418は、コンピュータ402の動作を制御するために利用される、オペレーティングシステム420を記憶してもよい。いくつかの実施形態によると、オペレーティングシステムは、LINUX(登録商標)オペレーティングシステムを含む。別の実施形態によると、オペレーティングシステムは、MICROSOFT Corporation(Redmond,Wash)製のWINDOWS(登録商標) SERVERオペレーティングシステムを含む。さらなる実施形態によると、オペレーティングシステムは、UNIX(登録商標)またはSOLARIS(登録商標)オペレーティングシステムを含んでもよい。他のオペレーティングシステムもまた、利用され得ることを理解されたい。大容量記憶デバイス418は、本明細書に説明されるように、コンピュータ402によって、CAゲートウェイ通信のための通信ネットワーク内の通信を管理するために利用される、CAモジュール422等のコンピュータ402によって利用される、他のシステムまたはアプリケーションプログラムおよびデータを記憶してもよい。
いくつかの実施形態では、大容量記憶デバイス418は、コンピュータ402の中にロードされると、コンピュータ402を、汎用目的コンピューティングシステムであるものから、本明細書に説明される実施形態を実装することが可能である、特殊目的コンピュータに変換する、コンピュータ実行可能命令を用いてエンコードされてもよい。これらのコンピュータ実行可能命令は、上記に説明されるように、CPU404が状態間で遷移する方法を規定することによって、コンピュータ402を変換する。いくつかの実施形態によると、ホストサーバ106の観点から、大容量記憶デバイス418は、本明細書に説明されるように、コンピュータ402によって実行されると、クラウドによってホストされるCLMからオンプレミスCAへの通信を管理する、プロセス300の一部を実施する、コンピュータ実行可能命令を記憶する。さらなる実施形態では、コンピュータ402は、大容量記憶デバイス418に加えて、またはその代替物として、他のコンピュータ可読記憶媒体へのアクセスを有してもよい。
コンピュータ402はまた、キーボード、マウス、タッチパッド、タッチスクリーン、電子スタイラス、または他のタイプの入力デバイス等、いくつかの入力デバイスからの入力を受信し、処理するための入/出力コントローラ430を含んでもよい。同様に、入/出力コントローラ430は、コンピュータモニタ、フラットパネルディスプレイ、デジタルプロジェクタ、プリンタ、プロッタ、または他のタイプの出力デバイス等のディスプレイデバイスに出力を提供してもよい。コンピュータ402が、図4に示されるコンポーネントの全てを含まない場合があること、図4に明示的に示されていない他のコンポーネントを含み得ること、または図4に示されるものと完全に異なるアーキテクチャを利用し得ることを理解されたい。
当業者は、周知のシステム、方法、コンポーネント、デバイス、および回路が、本明細書に説明される例示的実装のより関連のある側面を曖昧にしないように、網羅的詳細において説明されていないことを理解するであろう。また、他の有効な側面および/または異型は、本明細書に説明される具体的な詳細の全てを含むわけではない。したがって、いくつかの詳細は、図面に示されるような例示的側面の徹底的な理解を提供するために説明される。また、図面は、本開示のいくつかの例示的実施形態を示すにすぎず、したがって、限定するものと見なされるべきではない。
本明細書に説明される主題および動作の実施形態は、デジタル電子回路網において、または本明細書に開示される構造およびそれらの構造均等物を含む、コンピュータソフトウェア、ファームウェア、またはハードウェアにおいて、またはそれらのうちの1つまたはそれを上回るものの組み合わせにおいて、実装されることができる。本明細書に説明される主題の実施形態は、1つまたはそれを上回るコンピュータプログラム、すなわち、データ処理装置による実行のために、またはその動作を制御するために、コンピュータ記憶媒体上にエンコードされる、コンピュータプログラム命令の1つまたはそれを上回るモジュールとして、実装されることができる。代替として、または加えて、プログラム命令は、人工的に発生される伝搬信号、例えば、データ処理装置による実行のために好適な受信機装置への伝送のための情報をエンコードするように発生される、機械で発生される電気、光学、または電磁信号上で、エンコードされることができる。コンピュータ記憶媒体は、コンピュータ可読記憶デバイス、コンピュータ可読記憶基板、ランダムまたはシリアルアクセスメモリアレイまたはデバイス、またはそれらのうちの1つまたはそれを上回るものの組み合わせである、またはその中に含まれることができる。また、コンピュータ記憶媒体は、伝搬信号ではないが、コンピュータ記憶媒体は、人工的に発生される伝搬信号でエンコードされる、コンピュータプログラム命令のソースまたは宛先であることができる。コンピュータ記憶媒体はまた、1つまたはそれを上回る別個の物理的コンポーネントまたは媒体(例えば、複数のCD、ディスク、または他の記憶デバイス)である、またはそれに含まれることができる。
本明細書に説明される動作は、1つまたはそれを上回るコンピュータ可読記憶デバイス上に記憶される、または他のソースから受信されるデータ上でデータ処理装置によって実施される、動作として実装されることができる。
用語「データ処理装置」は、実施例として、プログラマブルプロセッサ、コンピュータ、システムオンチップ、または前述の複数のものまたは組み合わせを含む、データを処理するためのあらゆる種類の装置、デバイス、および機械を包含する。装置は、特殊用途論理回路網、例えば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)を含むことができる。装置はまた、ハードウェアに加えて、当該コンピュータプログラムのための実行環境を生成するコード、例えば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、クロスプラットフォームランタイム環境、仮想マシン、またはそれらのうちの1つまたはそれを上回るものの組み合わせを成すコードを含むことができる。装置および実行環境は、ウェブサービス、分散コンピューティング、およびグリッドコンピューティングインフラストラクチャ等の種々の異なるコンピューティングモデルインフラストラクチャを実現することができる。
コンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、スクリプト、またはコードとしても公知である)は、コンパイラ型またはインタープリタ型言語、宣言型または手続き型言語を含む、任意の形態のプログラミング言語で書き込まれることができ、これは、独立型プログラムとして、またはコンピューティング環境内の使用のために好適なモジュール、コンポーネント、サブルーチン、オブジェクト、または他のユニットとしてを含む、任意の形態で展開されることができる。コンピュータプログラムは、ファイルシステム内のファイルに対応し得るが、その必要はない。プログラムは、他のプログラムまたはデータを保持するファイル(例えば、マークアップ言語文書内に記憶された1つまたはそれを上回るスクリプト)の一部内に、当該プログラム専用の単一のファイル内に、または複数の協調ファイル(例えば、1つまたはそれを上回るモジュール、サブプログラム、またはコードの一部を記憶するファイル)内に記憶されることができる。コンピュータプログラムは、1つのコンピュータ上で、または1つの地点に位置し、または複数の地点を横断して分散され、通信ネットワークによって相互接続される複数のコンピュータ上で、実行されるように展開されることができる。
本明細書に説明されるプロセスおよび論理フローは、入力データに対して動作し、出力を発生させることによってアクションを実施するように、1つまたはそれを上回るコンピュータプログラムを実行する、1つまたはそれを上回るプログラマブルプロセッサによって、実施されることができる。プロセスおよび論理フローはまた、特殊用途論理回路網、例えば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)によって実施されることができ、装置もまた、それとして実装されることができる。
コンピュータプログラムの実行のために好適なプロセッサは、実施例として、汎用および特殊目的マイクロプロセッサの両方、および任意の種類のデジタルコンピュータのいずれか1つまたはそれを上回るプロセッサを含む。概して、プロセッサは、読取専用メモリまたはランダムアクセスメモリまたは両方から、命令およびデータを受信するであろう。コンピュータの不可欠な要素は、命令に従ってアクションを実施するためのプロセッサ、および命令およびデータを記憶するための1つまたはそれを上回るメモリデバイスである。概して、コンピュータはまた、データを記憶するための1つまたはそれを上回る大容量記憶デバイス、例えば、磁気、磁気光学ディスク、または光ディスクを含む、またはそこからデータを受信する、またはそこにデータを転送する、または両方を行うように、動作可能に結合されるであろう。しかしながら、コンピュータは、そのようなデバイスを有する必要はない。また、コンピュータは、別のデバイス、例えば、ほんの数例を挙げると、モバイル電話、携帯情報端末(PDA)、モバイルオーディオまたはビデオプレーヤ、ゲーム機、全地球測位システム(GPS)受信機、またはポータブル記憶デバイス(例えば、ユニバーサルシリアルバス(USB)フラッシュドライブ)に埋設されることができる。コンピュータプログラム命令およびデータを記憶するために好適なデバイスは、実施例として、半導体メモリデバイス、例えば、EPROM、EEPROM、およびフラッシュメモリデバイス、磁気ディスク、例えば、内部ハードディスクまたはリムーバブルディスク、磁気光学ディスク、およびCD-ROMおよびDVD-ROMディスクを含む、あらゆる形態の不揮発性メモリ、媒体、およびメモリデバイスを含む。プロセッサおよびメモリは、特殊目的論理回路網によって補完される、またはそれに組み込まれることができる。
ユーザとの相互作用を提供するために、本明細書に説明される主題の実施形態が、情報をユーザに表示するためのディスプレイデバイス、例えば、CRT(陰極線管)またはLCD(液晶ディスプレイ)モニタと、それによってユーザが入力をコンピュータに提供し得る、キーボードおよびポインティングデバイス、例えば、マウスまたはトラックボールとを有する、コンピュータ上で実装されることができる。他の種類のデバイスも、同様にユーザとの相互作用を提供するために使用されることができ、例えば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック、例えば、視覚フィードバック、聴覚フィードバック、または触覚フィードバックであり得、ユーザからの入力は、音響、発話、または触覚入力を含む、任意の形態で受信されることができる。加えて、コンピュータは、ユーザによって使用されるデバイスに文書を送信し、そこから文書を受信することによって、例えば、ウェブブラウザから受信される要求に応答して、ウェブページをユーザのクライアントデバイス上のウェブブラウザに送信することによって、ユーザと相互作用することができる。
本明細書に説明される主題の実施形態は、例えば、データサーバとして、バックエンドコンポーネントを含む、またはミドルウェアコンポーネント、例えば、アプリケーションサーバを含む、またはフロントエンドコンポーネント、例えば、それを通してユーザが本明細書に説明される主題の実装と相互作用し得るグラフィカルユーザインターフェースまたはウェブブラウザを有する、クライアントコンピュータ、または1つまたはそれを上回るそのようなバックエンド、ミドルウェア、またはフロントエンドコンポーネントの任意の組み合わせを含む、コンピューティングシステム内に実装されることができる。システムのコンポーネントは、任意の形態または媒体のデジタルデータ通信、例えば、通信ネットワークによって、相互接続されることができる。通信ネットワークの実施例は、ローカルエリアネットワーク(「LAN」)および広域ネットワーク(「WAN」)、インターネットワーク(例えば、インターネット)、およびピアツーピアネットワーク(例えば、アドホックピアツーピアネットワーク)を含む。
コンピューティングシステムは、クライアントと、サーバとを含むことができる。クライアントおよびサーバは、概して、相互から遠隔にあり、典型的には、通信ネットワークを通して相互作用する。クライアントおよびサーバの関係は、個別のコンピュータ上で起動し、相互にクライアント-サーバ関係を有する、コンピュータプログラムにより、生じる。いくつかの実装では、サーバは、(例えば、クライアントデバイスと相互作用するユーザにデータを表示し、ユーザからユーザ入力を受信する目的のために)データ(例えば、HTMLページ)をクライアントデバイスに伝送する。クライアントデバイスにおいて発生されるデータ(例えば、ユーザ相互作用の結果)が、サーバにおいてクライアントデバイスから受信されることができる。
本明細書は、多くの具体的実装詳細を含有するが、これらは、任意の発明または請求され得るものの範囲への限定としてではなく、むしろ、特定の発明の特定の実装に特有の特徴の説明として解釈されるべきである。別個の実施形態の文脈において本明細書に説明されるある特徴はまた、単一の実施形態において組み合わせて実装されることもできる。逆に、単一の実施形態の文脈において説明される種々の特徴はまた、複数の実施形態において別個に、または任意の好適な副次的組み合わせにおいて実装されることもできる。また、特徴がある組み合わせにおいて作用するものとして上記に説明され、さらにはそのようなものとして最初に請求され得るが、請求される組み合わせからの1つまたはそれを上回る特徴は、ある場合には、その組み合わせから削除されることができ、請求される組み合わせは、副次的組み合わせまたは副次的組み合わせの変形例を対象とし得る。
同様に、動作は、特定の順序で図面に描写されるが、これは、望ましい結果を達成するために、そのような動作が示される特定の順序で、または連続順序で実施される、または全ての図示される動作が実施されることを要求するものとして理解されるべきではない。ある状況では、マルチタスクおよび並列処理が、有利であり得る。また、上記に説明される実装における種々のシステムコンポーネントの分離が、全ての実施形態におけるそのような分離を要求するものとして理解されるべきではなく、説明されるプログラムコンポーネントおよびシステムが、概して、単一のソフトウェア製品においてともに統合される、または複数のソフトウェア製品にパッケージ化され得ることを理解されたい。
したがって、本主題の特定の実施形態が、説明された。他の実装も、以下の請求項の範囲内である。ある場合には、請求項に列挙されるアクションは、異なる順序で実施され、依然として、望ましい結果を達成することができる。加えて、付随の図に描写されるプロセスは、望ましい結果を達成するために、必ずしも示される特定の順序または連続順序を要求するわけではない。ある実装では、マルチタスクおよび並列処理が、有利であり得る。

Claims (20)

  1. コンピュータ実装方法であって、
    遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定するタスク要求と、タスク実行のための場所を規定する識別子とを受信することと、
    遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、前記タスク要求に基づいて、前記要求されるタスクおよび前記要求されるタスクのための前記タスク実行のための前記場所が、オンプレミスCAデバイスにあることを決定することと、
    前記要求されるタスクおよび前記タスク実行前記場所が前記オンプレミスCAデバイスにあることを決定することに応答して、前記遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、前記タスク要求を前記タスク実行のための前記場所にリンクさせる要求タスクデータエントリを記憶することと、
    前記遠隔CAゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供することであって、前記遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介して前記オンプレミスCAゲートウェイとの一定の通信接続を維持する、ことと、
    前記通知に応答して、前記オンプレミスCAゲートウェイから前記オンプレミスCAデバイスに、前記タスク実行のために前記要求されるタスクを提供することと
    を含む、コンピュータ実装方法。
  2. 前記オンプレミスCAゲートウェイは、前記タスク要求を受信することに先立って、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を開始する、請求項1に記載のコンピュータ実装方法。
  3. 前記永続的なクライアント開始通信プロトコルは、WebSocketプロトコルに基づく、請求項1に記載のコンピュータ実装方法。
  4. 前記永続的なクライアント開始通信プロトコルは、ロングポーリング通信プロトコルに基づく、請求項1に記載のコンピュータ実装方法。
  5. 前記オンプレミスCAゲートウェイにおいて、前記オンプレミスCAデバイスから、前記オンプレミスCAデバイスによる前記タスク実行に基づくタスク結果を受信することと、
    前記遠隔CAゲートウェイプラグインモジュールにおいて、前記オンプレミスCAゲートウェイから前記永続的なクライアント開始通信プロトコルを介して、前記タスク結果を受信することと、
    前記遠隔CAゲートウェイプラグインモジュール上の前記データ記憶デバイス内に、前記タスク結果を記憶することと、
    前記遠隔CAゲートウェイプラグインモジュール上のタスク割当インターフェースによって、前記タスク結果が前記データ記憶デバイス内に受信されたことを決定することと、
    前記遠隔CAゲートウェイコアによって、前記CLMアプリケーションを介して前記ユーザデバイスに前記タスク結果を提供することと
    をさらに含む、請求項1に記載のコンピュータ実装方法。
  6. 前記オンプレミスCAゲートウェイは、クライアント接続マネージャを備え、前記遠隔CAゲートウェイプラグインモジュールは、クライアント接続受信機を備える、請求項1に記載のコンピュータ実装方法。
  7. 前記オンプレミスCAゲートウェイは、CAゲートウェイプラグインモジュールと、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を管理するように構成されるCA管理ゲートウェイモジュールとを備え、前記CAゲートウェイプラグインモジュールは、前記オンプレミスCAデバイスと通信する、請求項1に記載のコンピュータ実装方法。
  8. 前記オンプレミスCAゲートウェイは、1つまたはそれを上回るクライアントサーバ備える、請求項1に記載のコンピュータ実装方法。
  9. 前記遠隔CAゲートウェイプラグインモジュールは、前記データ記憶デバイス内に前記要求タスクデータエントリを記憶するように構成されるタスク割当インターフェースを備える、請求項1に記載のコンピュータ実装方法。
  10. 前記遠隔CAゲートウェイプラグインモジュールは、キャッシュAPIを備え、前記オンプレミスCAゲートウェイは、前記キャッシュAPIにアクセスし、前記遠隔CAゲートウェイプラグインモジュール上にホストされるインベントリおよび構成データを同期化するように構成される同期化装置を備える、請求項1に記載のコンピュータ実装方法。
  11. システムであって、
    データ処理装置と、
    前記データ処理装置とデータ通信している非一過性コンピュータ可読記憶媒体であって、前記非一過性コンピュータ可読記憶媒体は、前記データ処理装置によって実行可能な命令を記憶し、そのような実行に応じて、前記データ処理装置に、
    遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定するタスク要求と、タスク実行のための場所を規定する識別子とを受信することと、
    遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、前記タスク要求に基づいて、前記要求されるタスクおよび前記要求されるタスクのための前記タスク実行のための前記場所が、オンプレミスCAデバイスにあることを決定することと、
    前記要求されるタスクおよび前記タスク実行前記場所が前記オンプレミスCAデバイスにあることを決定することに応答して、前記遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、前記タスク要求を前記タスク実行のための前記場所にリンクさせる要求タスクデータエントリを記憶することと、
    前記遠隔CAゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供することであって、前記遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介して前記オンプレミスCAゲートウェイとの一定の通信接続を維持する、ことと、
    前記通知に応答して、前記オンプレミスCAゲートウェイから前記オンプレミスCAデバイスに、前記タスク実行のために前記要求されるタスクを提供することと
    を含む動作を実施させる、非一過性コンピュータ可読記憶媒体と
    を備える、システム。
  12. 前記オンプレミスCAゲートウェイは、前記タスク要求を受信することに先立って、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を開始する、請求項11に記載のシステム。
  13. 前記永続的なクライアント開始通信プロトコルは、WebSocketプロトコルに基づく、請求項11に記載のシステム。
  14. 前記永続的なクライアント開始通信プロトコルは、ロングポーリング通信プロトコルに基づく、請求項11に記載のシステム。
  15. 前記オンプレミスCAゲートウェイは、クライアント接続マネージャを備え、前記遠隔CAゲートウェイプラグインモジュールは、クライアント接続受信機を備える、請求項11に記載のシステム。
  16. 前記オンプレミスCAゲートウェイは前記オンプレミスCAデバイスから、前記オンプレミスCAデバイスによる前記タスク実行に基づくタスク結果を受信するようにさらに構成される、請求項11に記載のシステム。
  17. 前記動作は
    前記遠隔CAゲートウェイプラグインモジュールにおいて、前記オンプレミスCAゲートウェイから前記永続的なクライアント開始通信プロトコルを介して、前記タスク結果を受信することと、
    前記遠隔CAゲートウェイプラグインモジュール上の前記データ記憶デバイス内に、前記タスク結果を記憶することと、
    前記遠隔CAゲートウェイプラグインモジュール上のタスク割当インターフェースによって、前記タスク結果が前記データ記憶デバイス内に受信されたことを決定することと、
    前記遠隔CAゲートウェイコアによって、前記CLMアプリケーションを介して前記ユーザデバイスに前記タスク結果を提供することと
    さらに含む、請求項11に記載のシステム。
  18. 前記オンプレミスCAゲートウェイは、前記遠隔CAゲートウェイプラグインとの前記一定の通信接続を管理するように構成されるCA管理ゲートウェイモジュールと、前記オンプレミスCAデバイスと通信するCAゲートウェイプラグインモジュールとを備える、請求項11に記載のシステム。
  19. コンピュータプログラムを用いてエンコードされる非一過性コンピュータ記憶媒体であって、前記コンピュータプログラムは、命令を含み、前記命令は、1つまたはそれを上回るデータ処理装置によって実行されると、データ処理装置に、
    遠隔証明機関(CA)ゲートウェイコアによって、ユーザデバイス上にインストールされる証明書ライフサイクル管理(CLM)アプリケーションから、要求されるタスクを規定するタスク要求と、タスク実行のための場所を規定する識別子とを受信することと、
    遠隔CAゲートウェイプラグインモジュール上のタスク選別インターフェースによって、前記タスク要求に基づいて、前記要求されるタスクおよび前記要求されるタスクのための前記タスク実行のための前記場所が、オンプレミスCAデバイスにあることを決定することと、
    前記要求されるタスクおよび前記タスク実行前記場所が前記オンプレミスCAデバイスにあることを決定することに応答して、前記遠隔CAゲートウェイプラグインモジュール上のデータ記憶デバイス内に、前記タスク要求を前記タスク実行のための前記場所にリンクさせる要求タスクデータエントリを記憶することと、
    前記遠隔CAゲートウェイプラグインモジュールから、オンプレミスCAゲートウェイに通知を提供することであって、前記遠隔CAゲートウェイプラグインモジュールは、永続的なクライアント開始通信プロトコルを介して前記オンプレミスCAゲートウェイとの一定の通信接続を維持する、ことと、
    前記通知に応答して、前記オンプレミスCAゲートウェイから前記オンプレミスCAデバイスに、前記タスク実行のために前記要求されるタスクを提供することと
    を含む動作を実施させる、非一過性コンピュータ記憶媒体。
  20. 前記オンプレミスCAゲートウェイは、前記タスク要求を受信することに先立って、前記遠隔CAゲートウェイプラグインモジュールとの前記一定の通信接続を開始する、請求項19に記載の非一過性コンピュータ記憶媒体。
JP2023563906A 2020-12-28 2021-11-17 遠隔証明機関管理 Active JP7470879B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202063131085P 2020-12-28 2020-12-28
US63/131,085 2020-12-28
PCT/US2021/059618 WO2022146571A1 (en) 2020-12-28 2021-11-17 Remote certificate authority management

Publications (3)

Publication Number Publication Date
JP2024501591A JP2024501591A (ja) 2024-01-12
JPWO2022146571A5 JPWO2022146571A5 (ja) 2024-03-06
JP7470879B2 true JP7470879B2 (ja) 2024-04-18

Family

ID=79927509

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023563906A Active JP7470879B2 (ja) 2020-12-28 2021-11-17 遠隔証明機関管理

Country Status (6)

Country Link
US (1) US11973751B2 (ja)
EP (1) EP4268410A1 (ja)
JP (1) JP7470879B2 (ja)
AU (1) AU2021411402A1 (ja)
CA (1) CA3203059A1 (ja)
WO (1) WO2022146571A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015226322A (ja) 2014-05-23 2015-12-14 エスアーペー エスエー オンプレミスとクラウドプラットフォーム間のハイブリッドアプリケーション動作
JP2017528963A (ja) 2014-07-31 2017-09-28 ノック ノック ラブズ, インコーポレイテッド セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
JP2019192953A (ja) 2018-04-18 2019-10-31 トヨタ自動車株式会社 車両向けサービス提供システム、車載装置およびコマンド送信方法
JP2020502672A (ja) 2016-12-15 2020-01-23 アーベーベー・シュバイツ・アーゲー ユーザ認可のためのシステムおよび方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA172A (en) 1869-12-06 W. Welch A vapor fumigator
KR100335995B1 (ko) 1999-12-24 2002-05-08 남궁종 윈도우 nt용 웹 기반의 전자인증 서버 시스템 및 방법
US6970862B2 (en) * 2001-05-31 2005-11-29 Sun Microsystems, Inc. Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL)
US7328344B2 (en) * 2001-09-28 2008-02-05 Imagitas, Inc. Authority-neutral certification for multiple-authority PKI environments
US20050076201A1 (en) 2003-08-15 2005-04-07 Imcentric, Inc. System for discovering SSL-enabled network devices and certificates
US8291224B2 (en) * 2005-03-30 2012-10-16 Wells Fargo Bank, N.A. Distributed cryptographic management for computer systems
KR100844436B1 (ko) * 2006-04-28 2008-07-07 주식회사 리미트정보통신 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
US8903943B2 (en) * 2011-02-15 2014-12-02 Salesforce.Com, Inc. Integrating cloud applications and remote jobs
EP2817917B1 (en) 2012-02-20 2018-04-11 KL Data Security Pty Ltd Cryptographic method and system
US8745378B1 (en) * 2012-03-12 2014-06-03 Certified Security Solutions, Inc. System and method for validating SCEP certificate enrollment requests
US9584297B2 (en) 2012-05-11 2017-02-28 Qualcomm Incorporated Interference management for adaptive TDD with frequency domain separations
US20140068251A1 (en) * 2012-08-31 2014-03-06 Motorola Solutions, Inc. Method and device for dynamically updating and maintaining certificate path data across remote trust domains
CN103490881B (zh) 2013-09-06 2017-01-25 数安时代科技股份有限公司 认证服务系统、用户认证方法、认证信息处理方法及系统
US9503447B2 (en) * 2014-01-30 2016-11-22 Sap Se Secure communication between processes in cloud
CN104378386A (zh) 2014-12-09 2015-02-25 浪潮电子信息产业股份有限公司 一种云数据机密性保护和访问控制的方法
EP3241310B1 (en) * 2015-01-02 2019-07-31 Systech Corporation Control infrastructure
WO2016149355A1 (en) * 2015-03-16 2016-09-22 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms
US20180131525A1 (en) * 2016-11-07 2018-05-10 International Business Machines Corporation Establishing a secure connection across secured environments
US10063382B1 (en) * 2017-09-28 2018-08-28 General Electric Company Apparatus and method for providing multiple security credentials
US11632254B2 (en) * 2020-02-21 2023-04-18 Mcafee, Llc Home or enterprise router-based secure domain name services

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015226322A (ja) 2014-05-23 2015-12-14 エスアーペー エスエー オンプレミスとクラウドプラットフォーム間のハイブリッドアプリケーション動作
JP2017528963A (ja) 2014-07-31 2017-09-28 ノック ノック ラブズ, インコーポレイテッド セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
JP2020502672A (ja) 2016-12-15 2020-01-23 アーベーベー・シュバイツ・アーゲー ユーザ認可のためのシステムおよび方法
JP2019192953A (ja) 2018-04-18 2019-10-31 トヨタ自動車株式会社 車両向けサービス提供システム、車載装置およびコマンド送信方法

Also Published As

Publication number Publication date
CA3203059A1 (en) 2022-07-07
US11973751B2 (en) 2024-04-30
US20220210148A1 (en) 2022-06-30
JP2024501591A (ja) 2024-01-12
WO2022146571A1 (en) 2022-07-07
AU2021411402A1 (en) 2023-07-06
EP4268410A1 (en) 2023-11-01

Similar Documents

Publication Publication Date Title
US20230011241A1 (en) Hypervisor remedial action for a virtual machine in response to an error message from the virtual machine
US10033699B2 (en) Transparent DNSSEC-signing proxy
CN107408064B (zh) 在虚拟机实例内执行命令的方法和用于实施该方法的系统
US9917818B2 (en) Multi-tenant secure separation of data in a cloud-based application
US9753786B2 (en) Client server communication system
US20180137296A1 (en) Providing containers access to container daemon in multi-tenant environment
US20120239810A1 (en) System, method and computer program product for clustered computer environment partition resolution
JP7100941B2 (ja) アプリケーションによって制御された早期書込み確認応答をサポートするメモリ・アクセス・ブローカ・システム
US10904238B2 (en) Access token management for state preservation and reuse
CN109993528B (zh) 一种用于管理委托任务的方法与设备
US10798097B2 (en) Intelligent redirection of authentication devices
US11119817B2 (en) Breaking dependence of distributed service containers
US10009425B1 (en) Synchronization of transactions utilizing multiple distributed cloud-based services
US9760412B2 (en) Client server communication system
WO2016155266A1 (zh) 虚拟桌面的数据共享方法和装置
JP7470879B2 (ja) 遠隔証明機関管理
US11032073B2 (en) Seamless abort and reinstatement of TLS sessions
US20220283862A1 (en) Invocation calls enabling applications to initiate reactive actions in response to resource state changes of assets
US11474767B1 (en) Print from web services platform to local printer
US20180196658A1 (en) Pattern based migration of integration applications
US20230345240A1 (en) Contextual authentication for secure remote sessions
US9380047B2 (en) Insecure connection prohibition
WO2024064425A1 (en) Managing unique secrets in distributed systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240226

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240226

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20240226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240408

R150 Certificate of patent or registration of utility model

Ref document number: 7470879

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150