WO2023011158A1

WO2023011158A1 - 一种证书管理方法和装置

Info

Publication number: WO2023011158A1
Application number: PCT/CN2022/106395
Authority: WO
Inventors: 赵绪文; 何承东
Original assignee: 华为技术有限公司
Priority date: 2021-08-06
Filing date: 2022-07-19
Publication date: 2023-02-09
Also published as: CN115942314A

Abstract

本申请提供了一种证书管理方法，该方法包括：第一设备发送请求消息，该请求消息用于向第二设备请求第一证书，该请求消息包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种；第一设备接收响应消息，该响应消息包含上述第一证书，该第一证书包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种。第二设备根据请求消息包括的信息生成对应的第一证书，使得生成的证书包含符合要求的信息，从而生成满足要求的证书。

Description

一种证书管理方法和装置

本申请要求于2021年8月6日提交中国专利局、申请号为202110904514.X、申请名称为“一种证书管理方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，并且更具体地，涉及一种证书管理方法和装置。

背景技术

在第五代(5 generation；5G)移动通信系统中，采用服务化架构(service based architecture；SBA)作为基础架构，实现5G系统的高效化、软件化和开放化。基于该SBA架构，将网络功能定义为若干个可被灵活调用的“服务”模块，用于运营商根据不同业务需求进行灵活组网。

现有技术中，通过网络功能虚拟化(network function virtulization；NFV)实现网络功能(network fuction；NF)，各网络功能之间采用互联网协议安全(internet protocil security；IPSec)或传输层安全协议(transport layer security；TLS)等技术建立网络连接，这些安全技术要求具有相互通信的双方配置证书，证书包含通信双方用于验证的秘钥及算法，从而降低网络通信中的安全隐患。

如何在5G SBA场景下生成满足5G要求的证书，成为业界亟需解决的问题。

发明内容

本申请提供一种证书管理方法和装置，能够得到满足要求的证书。

第一方面，提供了一种证书管理方法，该方法包括：第一设备发送请求消息，该请求消息用于向第二设备请求第一证书，该请求消息包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种；第一设备接收响应消息，该响应消息包含上述第一证书，该第一证书包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种。

根据本申请提供的证书管理方法，第一设备发送的请求消息中包括生成证书所需要的信息，第二设备根据请求消息的内容生成对应的证书，生成的证书包含符合要求的信息，从而使得第一设备能够得到满足要求的证书。

第二方面，提供了一种证书管理方法，该方法包括：第二设备接收第一设备发送的请求消息，该请求消息包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种；该第二设备根据请求消息生成第一证书；第二设备发送响应消息，该响应消息包含该第一证书，该第一证书包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种。

根据本申请提供的证书管理方法，第二设备接收到的请求消息包括生成证书所需要的信息，第二设备可以根据该信息生成对应的证书，生成的证书包含要求的信息，从而生成满足要求的证书。

结合第二方面，在第一方面的某些实现方式中，该方法还包括：该请求消息中还包括第一设备证书，在第二设备根据该请求消息生成第一证书之前，该方法还包括以下一项或两项：第二设备验证该请求消息中的完全限定域名与第一设备证书中的完全限定域名一致；第二设备验证该请求消息中的第一设备的类型与第一设备证书中的第一设备类型一致。

根据该技术方案，第二设备收到第一设备的请求消息后，对请求消息包含的证书请求消息进行校验，防止恶意网络功能请求证书，从而，在保证安全的前提下生成满足要求的证书。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：第一设备为传输层安全客户端，该第一证书为客户端证书。

根据该技术方案，第一设备作为传输层安全客户端，可以申请客户端证书，满足第一设备作为客户端的要求，从而保障在TLS连接时第一设备实现相应功能。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：该请求消息还包括第一指示信息，该第一指示信息用于请求上述客户端证书。

根据该技术方案，在请求消息中，使用第一指示信息指示申请的证书类型，进一步的，能够让第二设备明确第一设备请求的证书类型，从而，准确生成相应的证书。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：该第一设备为传输层安全服务器，该第一证书为服务器证书；该请求消息中还包括第一超文本传输安全协议统一资源标识符HTTPS URI，该第一HTTPS URI用于标识该第一设备提供的服务资源；和/或，该请求消息中还包括第二HTTPS URI，该第二HTTPS URI用于标识该第一设备提供的回拨服务资源；该服务器证书还包括该第一超文本传输安全协议统一资源标识符HTTPS URI和/或该第二超文本传输安全协议统一资源标识符HTTPS URI。

根据该技术方案，请求消息具体可以包括传输层安全服务器TLS连接TLS连接中可能需要的信息，进一步的，能够让第二设备准确生成对应证书。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，请求消息还包括第二指示信息，该第二指示信息用于请求该服务器证书。

根据该技术方案，在请求消息中，使用第二指示信息指示申请的证书类型，进一步的，能够让第二设备明确第一设备请求的证书类型，从而，准确生成相应的证书。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：该第一设备为传输层安全客户端，且还作为传输层安全服务器，该第一证书为客户端证书和服务器证书；该请求消息中还包括第一HTTPS URI，该第一HTTPS URI用于标识该第一设备提供的服务资源；和/或，该请求消息中还包括第二HTTPS URI，该第二HTTPS URI用于标识该第一设备提供的回拨服务资源；该客户端证书包括该第一设备的实例ID、该第一设备的完全限定域名FQDN及第一设备的类型中的一种或多种；该服务器证书包括该第一设备的实例ID、该第一设备的完全限定域名FQDN及第一设备的类型中的一种或多种，以及该第一HTTPS URI和/或该第二HTTPS URI。

根据该技术方案，第一设备可以同时作为传输层安全客户端和传输层安全服务器，请求消息包括传输层安全客户端和传输层安全服务器在TLS连接中可能需要的信息，进一步的，能够让第二设备准确生成两种证书。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：请求消息还包括第三指示信息，该第三指示信息用于请求该客户端证书和该服务器证书。

根据该技术方案，在请求消息中，使用第三指示信息指示申请的证书类型为客户端证书和该服务器证书，进一步的，能够让第二设备明确第一设备请求的证书类型，从而，准确生成相应的证书。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：该第一证书包括客户端证书和/或服务器证书；该客户端证书还包括：DNS名称；该服务器证书还包括：DNS名称。

根据该技术方案，第一设备请求的客户端证书还可以包括DNS名称。

结合第一方面或第二方面，在第一方面或第二方面的某些实现方式中，该方法还包括：当该第一设备的类型为安全边缘保护代理SEPP时，该DNS名称包含该通配符。

根据该技术方案，第一设备为SEPP时，客户端证书包含的DNS名称包括通配符。

可选地，上述第二设备是注册机构RA/证书机构CA。

第三方面，提供一种证书管理装置，该无线通信装置执行该第一方面或其各种实现方式中的方法的单元。

第四方面，提供一种证书管理装置，该无线通信装置执行该第二方面或其各种实现方式中的方法的单元。

第五方面，提供一种证书管理装置，包括，处理器，存储器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得该通信设备执行第一或第二方面、第三方面或第四方面及其各种可能实现方式中的通信方法。

可选地，该处理器为一个或多个，该存储器为一个或多个。

可选地，该存储器可以与该处理器集成在一起，或者该存储器与处理器分离设置。

第六方面，提供了一种证书管理系统，包括上述第一设备和第二设备之一。

第七方面，提供了一种计算机程序产品，该计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当该计算机程序被运行时，使得计算机执行上述第一方面、第二方面、第三方面或第四方面中任一种可能实现方式中的方法。

第八方面，提供了一种计算机可读介质，该计算机可读介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一方面、第二方面、第三方面或第四方面中任一种可能实现方式中的方法。

第九方面，提供了一种电路系统，包括存储器和处理器，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得安装有该电路系统的通信设备执行上述第一方面、第二方面、第三方面或第四方面中任一种可能实现方式中的方法。

其中，该电路系统可以包括用于发送信息或数据的输入电路或者接口，以及用于接收信息或数据的输出电路或者接口。

第十方面，提供了一种电路系统，用于执行上述第一方面、第二方面、第三方面或第四方面中任一种可能实现方式中的方法。

附图说明

图1示出了适用于本申请实施例的证书管理架构100的示意图。

图2示出了适用于本申请实施例的一种网络架构200示意图。

图3示出了适用于本申请实施例提供的证书管理方法的一种示意性框图。

图4示出了适用于本申请实施例提供的证书管理方法的一种示意性交互图。

图5示出了适用于本申请实施例提供的证书管理方法的另一种示意性框图。

图6示出了适用于本申请实施例提供的证书管理方法的另一种示意性交互图。

图7示出了一种适用于本申请实施例提供的证书管理装置的一种示意性框图。

图8示出了一种适用于本申请实施例提供的证书管理装置的一种示意性架构图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例提及的无线通信系统包括但不限于：长期演进(long term evolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统、第五代(5th generation，5G)系统、未来的第六代(6th generation，6G)或新无线(new radio，NR)等。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

首先结合图1简要说明本申请实施例适用的一种证书管理架构100的示意图。如图1所示，该证书管理架构100可以包括至少一个网络功能网元，例如图1所示的网络功能网元111和网络功能网元112，该通信系统100还可以包括一个证书管理功能实体，例如图1所示的证书管理功能实体121。其中，该架构下的网络功能网元可以为传输层安全客户端和/或服务器，该架构下的不同网络功能网元处于同一运营商网络中，不同的网络功能网元可能由不同的供应商提供，各网络功能网元通过向证书管理功能实体进行证书申请，完成证书配置，进而通过证书中包括的秘钥及算法实现不同网络功能网元之间的相互认证，建立网络连接，实现数据安全传输。

图2示出了本申请通信系统的一种网络架构200示意图。

如图2所示，该通信系统的网络架构包括但不限于以下网元：

1、用户设备(UE)：也可以称为：用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。

用户设备可以是一种向用户提供语音/数据连通性的设备，本申请实施例对此并不限定。

2、接入设备(AN/RAN)：的接入设备可以是用于与用户设备通信的设备，该接入设备也可以称为接入网设备或无线接入网设备，例如，接入设备可以是LTE系统中的演进型基站(evolved nodeB，eNB或eNodeB)，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该接入设备可以为中继站、接入点、车载设备、可穿戴设备以及5G网络中的接入设备或者未来演进的PLMN网络中的接入设备等，可以是WLAN中的接入点(access point，AP)，可以是NR系统中的gNB本申请实施例并不限定。

3、接入和移动性管理功能(access and mobility management function，AMF)网元：主要用于移动性管理和接入管理等，可以用于实现LTE系统中移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如，合法监听以及接入授权/鉴权等功能。AMF网元为用户设备中的会话提供服务的情况下，会为该会话提供控制面的存储资源，以存储会话标识、与会话标识关联的SMF网元标识等。在本申请实施例中，可用于实现接入和移动管理网元的功能。

4、会话管理功能(session management function，SMF)网元：主要用于会话管理、用户设备的网络互连协议(internet protocol，IP)地址分配和管理、选择和管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。在本申请实施例中，可用于实现会话管理网元的功能。

5、策略控制(policy control function，PCF)网元：用于指导网络行为的统一策略框架，为控制平面功能网元(例如AMF，SMF网元等)提供策略规则信息以及基于流量的计费控制功能等。

6、统一数据管理(unified data management，UDM)网元：主要负责UE的签约数据的处理，包括用户标识的存储和管理、用户签约数据、鉴权数据等。

7、用户面功能(user plane function，UPF)网元：可用于分组路由和转发、或用户面数据的服务质量(quality of service，QoS)处理等。用户数据可通过该网元接入到数据网络(data network，DN)，还可以从数据网络接收用户数据，通过接入网设备传输给用户设备。UPF网元中为用户设备提供服务的传输资源和调度功能由SMF网元管理控制的。在本申请实施例中，可用于实现用户面网元的功能。

8、网络能力开放功能(network exposure function，NEF)网元：用于安全地向外部开放由3GPP网络功能提供的业务和能力等，主要支持3GPP网络和第三方应用安全的交互。

9、应用功能(application function，AF)网元：用于进行应用影响的数据路由，接入网络开放功能网元，或，与策略框架交互进行策略控制等，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。

10、网络切片选择功能(network slice selection function，NSSF)网元：主要负责网络切片选择，根据UE的切片选择辅助信息、签约信息等确定UE允许接入的网络切片实例。

11、认证服务器功能(authentication server function，AUSF)网元：支持3GPP和非3GPP的接入认证。

12、网络存储功能(network repository function,NRF)网元：支持网络功能的注册和发现。

13、统一数据存储功能(unified data repository,UDR)网元：存储和获取UDM和PCF使用的签约数据。

在该网络架构中，N2接口为RAN和AMF实体的参考点，用于NAS(non-access stratum，非接入层)消息的发送等；N3接口为RAN和UPF网元之间的参考点，用于传输用户面的数据等；N4接口为SMF网元和UPF网元之间的参考点，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息。

应理解，图2中的UE、(R)AN、UPF和DN一般被称为数据面网络功能和实体，用户的数据流量可以通过UE和DN之间建立的PDU会话进行传输，传输会经过(R)AN和UPF这两个网络功能实体；而其他的部分则被称为控制面网络功能和实体，主要负责认证和鉴权、注册管理、会话管理、移动性管理以及策略控制等功能，从而实现用户层流量可靠稳定的传输。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

应理解，图2中的各个网元之间的接口名称只是一个示例，具体实现中接口的名称可能为其他的名称，本申请对此不作具体限定。此外，上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例，对消息本身的功能不构成任何限定。

需要说明的是，上述“网元”也可以称为实体、设备、装置或模块等，本申请并未特别限定。并且，在本申请中，为了便于理解和说明，在对部分描述中省略“网元”这一描述，例如，将SMF网元简称SMF，此情况下，该“SMF”应理解为SMF网元或SMF实体，以下，省略对相同或相似情况的说明。

可以理解的是，上述实体或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

下面以具体的实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

在本申请实施例中，第一设备作为传输层安全TLS连接中的功能设备的一例。

需要说明的是，TLS连接具有方向性，因此核心网内的功能设备可以作为客户端，也可以作为服务器，也可以同时作为客户端和服务器。

可以理解，当第一设备作为客户端，则可以申请客户端证书。

当第一设备作为服务器，则可以申请服务器证书。

当第一设备既可以作为客户端，也可以作为服务器，则可以申请客户端证书和服务器证书。

需要说明的是，第一设备也可以作为服务消费者，也可以作为服务生产者，也可以同时作为服务消费者和服务生产者。

在一种可能的实施方式中，该功能设备具体可以是网络功能NF，指的是核心网内的网络功能，例如上述SMF，AMF，AUSF，UDM等都可以作为本申请的NF。

具体的，NF根据不同设备功能类型可以申请不同类型证书，应理解，在本申请实施例中，该设备功能类型可以理解为NF是否可以作为客户端和/或服务器。例如，NF的设备类型为安全边缘保护代理(security edge protection proxy，SEPP)，则该SEPP用于漫游消息的安全保护，则功能类型为可以作为客户端和/或服务器，需要支持包含通配符的DNS名称的客户端(client)证书和/或包含通配符的DNS名称的服务器(server)证书；当设备类型为除SEPP以外的其他类型，则功能类型为可以作为客户端和/或服务器，可以申请普通的客户端证书和/或普通的服务器证书。其中，普通的客户端证书和/或普通的服务器证书可以理解为不包括含有通配符的DNS名称的证书。除了上述两种设备类型，对于其他的设备类型，可以申请普通的客户端证书和/或普通的服务器证书。

应理解，以上举例仅为示例性说明，不应对本申请构成任何限定。

在本申请实施例中，第二设备作为运营商的RA/CA机构的一例。

应理解，RA为证书注册机构，是受证书颁发机构CA信任的统一证书申请实体，用于证书请求的汇聚和转发，通常与CA耦合设置。

应理解，CA为证书颁发机构，负责签发证书、认证证书、管理已颁发证书。

需要说明的是，在本申请实施例中，RA/CA机构可以单独设置，也可以耦合设置，本申请实施例对此不作限定。

应理解，在本申请实施例中，RA/CA为运营商信任或指定的RA/CA机构，本申请实施例对此不作限定。

应理解，第一设备在运营商网络内，发现运营商的RA/CA，第一设备可以完成第一预配置，RA/CA可以完成第二预配置。

该第一预配置包括：第一设备的实例化，预配置厂商证书，配置厂商公私钥对。

具体的，对于第一设备，需要完成实例化，该实例化可以理解为，例如，由厂商提供的NF需要满足运营商网络的具体配置，可以根据运营商的具体要求配置具体参数和完成相关设置，经过实例化后的NF基本上可以理解为满足运营商网络的NF，实例化方式与现有技术基本一致，为了简便，本申请实施例在此不作赘述。

在一种可能的实施方式中，厂商证书由第一设备的厂商在该第一设备上预配置。第一设备的厂商证书也可以通过其他方式预配置，本申请实施例对此不作限定。

在一种可能的实施方式中，该厂商公私钥对可以由第一设备预配置，也可以由本地生成，厂商公私钥对的具体预配置方式，本申请实施例对此不作限定。

该第二预配置包括：运营商的RA/CA上预配置所有运营商网络内厂商的根证书，以及运营商的根证书。

可以理解，在本申请实施例中，运营商的RA/CA上预配置了所有运营商网络内厂商的根证书，该RA/CA可以查找到网络内所有厂商证书对应的根证书，使用对应的根证书对厂商证书进行验证。

需要说明的是，以上仅为示例性说明，第一设备和第二设备的预配置内容还可包括其他部分，本申请实施例并不作限定。

图3是本申请实施例提供的证书管理方法的一种示意性框图，方法300可以包括如下步骤：

S301，第一设备发送请求消息，所述请求消息用于向第二设备请求第一证书。

根据以上所述，第一设备作为核心网内的功能设备，可以针对第一设备的类型向RA/CA申请对应类型的证书。

第一设备向第二设备发送请求消息，该请求消息具体用于向第二设备请求第一证书，所述请求消息包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种。

应理解，该第一证书的类型包括：客户端证书和/或服务器证书、包含通配符的DNS名称的客户端证书和/或包含通配符的DNS名称的服务器证书。

在一种可能的实施方式中，第一设备的功能类型为传输层安全客户端，则第一证书的类型为客户端证书。

在一种可能的实施方式中，第一设备的功能类型为传输层安全服务器，则第一证书的类型为服务器证书。

在一种可能的实施方式中，第一设备的功能类型为传输层安全客户端和传输层安全服务器，则第一证书的类型为客户端证书和服务器证书。

具体的，在一种可能的实施方式中，第一设备确定第一设备的类型为SEPP，则第一证书的类型为包含通配符的DNS名称的客户端证书和/或包含通配符的DNS名称的服务器证书。

具体的，在一种可能的实施方式中，第一设备确定第一设备的类型除了SEPP之外的其他类型，则第一设备确定第一证书的类型为客户端证书和/或服务器证书。

第一设备根据上述第一证书类型生成对应的请求消息。

在一种可能的实施方式中，第一设备为传输层安全客户端，第一证书为客户端证书，请求消息包括第一设备的实例ID、第一设备的完全限定域名FQDN及第一设备的类型中的一种或多种。

可选的，请求消息包括第一指示信息，该第一指示信息用于请求客户端证书。

在一种可能的实施方式中，第一设备为传输层安全服务器，第一证书为服务器证书，请求消息中还包括第一超文本传输安全协议统一资源标识符HTTPS URI，第一HTTPS URI用于标识第一设备提供的服务资源；和/或，

请求消息中还包括第二HTTPS URI，第二HTTPS URI用于标识第一设备提供的回拨服务资源。

需要说明的是，当第一设备作为传输层安全服务器，并且可以作为服务生产者时，请求消息包括第一HTTPS URI；当第一设备作为传输层安全服务器，并且可以作为服务消费者时，请求消息包括第二HTTPS URI；当第一设备作为传输层安全服务器，并且可以作为服务生产者和服务消费者时，请求消息包括第一HTTPS URI和第二HTTPS URI。

可选的，请求消息包括第二指示信息，该第一指示信息用于请求服务器证书。

在一种可能的实施方式中，第一设备为传输层安全客户端，且还作为传输层安全服务器，第一证书为客户端证书和服务器证书，请求消息中还包括第一HTTPS URI，第一HTTPS URI用于标识第一设备提供的服务资源；和/或，

可选的，请求消息包括第三指示信息，该第三指示信息用于请求客户端证书和服务器证书。

在一种可能的实施方式中，请求消息还可以包括DNS名称。

可选的，该DNS名称可以由运营商通过本地配置的方式，在第二设备上配置当前的DNS的名称，DNS可以只有一个，也可以有多个。如果DNS有多个，第二设备根据配置的厂商与DNS的对应关系，确定第一设备对应的DNS的名称。

在一种可能的实施方式中，第一设备请求的第一证书包括包含通配符的DNS的名称的客户端证书和/或包含通配符的DNS的名称的服务器证书，进一步的，请求消息还可以包括包含通配符的DNS名称。

可选的，该包含通配符的DNS名称可以由运营商通过本地配置的方式，在第二设备上配置当前的包含通配符的DNS名称，包含通配符的DNS可以只有一个，也可以有多个。如果包含通配符的DNS有多个，第二设备根据配置的厂商与包含通配符的DNS的对应关系，确定第一设备对应的包含通配符的DNS的名称。

应理解，第一设备的类型为SEPP时，DNS名称可以包含通配符。

在一种可能的实施方式中，上述请求消息可以包括第一信息，其中第一信息包括第一设备的实例ID、第一设备的完全限定域名FQDN及第一设备的类型中的一种或多种。

在一种可能的实施方式中，第一信息还可以包括第一指示信息，该第一指示信息用于请求上述客户端证书。

在一种可能的实施方式中，上述请求消息可以包括第二信息，其中第二信息包括第一设备的实例ID、第一设备的完全限定域名FQDN及第一设备的类型中的一种或多种，及上述第一HTTPS URI和/或第二HTTPS URI。

在一种可能的实施方式中，第二信息还可以包括第二指示信息，该第二指示信息用于请求上述服务器证书。

在一种可能的实施方式中，上述请求消息可以包括上述第一信息和第二信息。上述请求消息还可以包括第三指示信息，该第三指示信息用于请求客户端证书和服务器证书。

应理解，上述第一指示信息，第二指示信息和第三指示信息用于指示具体的申请的证书类型，在不包含该第一指示信息，第二指示信息和第三指示信息时，第二设备可以通过请求消息包括的第一设备的类型判断第一设备申请的证书类型，或者第二设备可以通过请求消息中的第一信息和/或第二信息在请求消息中的相对位置判断第一设备申请的证书类型；或者第二设备可以通过请求消息中的第一信息和/或第二信息中包含信息的差异判断第一设备申请的证书类型。

在上述请求消息包括第三指示信息的情况下，该第三指示信息还可以指示使用第一信息生成客户端证书，以及使用第二信息生成服务器证书。

需要说明的是，第一设备在生成请求消息后，可以使用预配置的厂商私钥对该请求消息进行签名生成第一签名信息，请求消息中还包含第一签名信息和预配置的厂商证书。

S302，第二设备根据请求消息生成第一证书，并发送第一响应消息。

第二设备接收请求消息，可以使用第一设备发送的厂商证书包括的公钥验证请求消息中包含的第一签名信息。

需要说明的是，若校验成功，则继续流程，若检验失败，则结束流程或回复异常响应。

在一种可能的实施方式中，第二设备可以校验请求消息中第一设备信息的正确性。具体可以通过以下一种或多种方式：

方式一：第二设备验证请求消息中的第一设备的FQDN与第一设备证书中的第一设备的FQDN是否一致；

方式二：第二设备验证请求消息中的第一设备的类型与第一设备证书中的第一设备的类型是否一致；

方式三：第二设备确定请求消息中的第一设备类型或第一设备证书中的第一设备的类型后，根据第一设备的类型验证第一设备请求的证书是否正确。

对于方式三，当第一设备的类型为SEPP，第二设备可以验证第一设备请求的证书是否为包含通配符的DNS名称的客户端证书和/或包括包含通配符的域名服务器DNS名称的服务器证书；

当第一设备为除SEPP以外的其他类型，第二设备可以验证第一设备请求的证书是否为上述客户端证书和/或服务器证书。

应理解，上述第二设备校验请求消息中第一设备信息的正确性为可选的步骤。第二设备根据第一设备的安全性要求确定是否执行该步骤，例如，第一设备为银行或者精密工业网络中的网络功能，该第一设备对安全性要求较高，则，第二设备执行该步骤。应理解，第二设备确定第一设备安全性要求的方式，本申请实施例对此不作限定。

需要说明的是，以上任意一项校验动作失败，则可以结束流程或回复异常响应；否则，继续流程。

第二设备验证请求消息和请求消息请求的第一设备的类型的正确性后，第二设备根据请求消息生成第一证书。

在一种可能的实施方式中，第二设备根据请求消息中包括的信息确定第一设备请求的第一证书的类型。

可选的，请求消息包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种，则第二设备生成客户端证书，在该情况下，第一设备可以是传输层安全客户端。

生成的客户端证书包括：第一设备的实例ID、DNS名称、第一设备的完全限定域名及第一设备的类型中的一种或多种。

进一步的，请求消息还可以包括第一HTTPS URI和/或第二HTTPS URI，则第二设备生成服务器证书，在该情况下，第一设备可以是传输层安全服务器。

生成的服务器证书可以包括：第一设备的实例ID、第一设备的完全限定域名、DNS名称、第一设备的类型及第一HTTPS URI和/或第二HTTPS URI中的一种或多种。

进一步的，请求消息还可以包括第一HTTPS URI和/或第二HTTPS URI，则第二设备生成客户端证书和服务器证书，在该情况下，第一设备可以是传输层安全服务器和客户端。

生成的客户端证书和服务器证书包括的内容与上述一致。

在一种可能的实施方式中，当请求消息包括包含通配符的DNS名称，则第二设备生成的客户端证书和/或服务器证书还包括包含通配符的DNS名称。

在一种可能的实施方式中，第二设备根据请求消息中的第一指示信息和/或第二指示信息和/或第三指示信息确定第一设备请求的第一证书的类型。

例如，请求消息包括第一指示信息，则第二设备结合请求消息中的包含的信息生成客户端证书，这种情况下，第一设备可以是传输层安全客户端。

例如，请求消息包括第二指示信息，则第二设备结合请求消息中的包含的信息生成服务器证书，这种情况下，第一设备可以是传输层安全服务器。

再例如，请求消息包括第一指示信息和第二指示信息，或者包含第三指示信息，则第二设备结合请求消息中的包含的信息生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全客户端和传输层安全服务器。

在一种可能的实施方式中，第二设备根据请求消息消息中的第一信息和/或第二信息确定第一设备请求的第一证书的类型。

例如，请求消息中包含第一信息，则第二设备结合第一信息生成客户端证书，这种情况下，第一设备可以是传输层安全客户端。

例如，请求消息中包含第二信息，则第二设备结合第二信息生成服务器证书，这种情况下，第一设备可以是传输层安全服务器。

例如，请求消息中包含第一信息和第二信息，则第二设备结合第一信息和第二信息生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全服务器和传输层安全客户端。

在一种可能的实施方式中，第二设备根据请求消息的具体内容确定第一设备请求的第一证书的类型。

例如，请求消息中部包含第一HTTPS URI和/或第二HTTPS URI，则第二设备生成客户端证书，这种情况下，第一设备可以是传输层安全客户端。

例如，请求消息中包含第一HTTPS URI和/或第二HTTPS URI，则第二设备生成服务器证书，这种情况下，第一设备可以是传输层安全服务器。

例如，请求消息中包含第一HTTPS URI和/或第二HTTPS URI，则第二设备生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全服务器和传输层安全客户端。

例如，请求消息还包括包含通配符的DNS名称，则第二设备生成包含通配符DNS名称的客户端证书和/或服务器证书。

需要说明的是，第二设备可以结合以上任意一种或多种实施方式确定第一设备请求的第一证书的类型。

例如，请求消息中包含第一HTTPS URI和/或第二HTTPS URI，请求消息中还包含第三指示信息，则第二设备生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全服务器和传输层安全客户端。

第二设备生成的第一证书可以包括第一设备请求消息中的具体信息。

具体的，第一证书包括客户端证书和/或服务器证书。

该客户端证书包括：第一设备的实例ID、第一设备的FQDN、DNS名称及第一设备的类型中的一个或多个；

该服务器证书包括：第一设备的实例ID、第一HTTPS URI、第二HTTPS URI、第一设备的FQDN、第一设备的类型及DNS名称中的一个或多个。

需要注意的是，当第一设备的类型为SEPP时，DNS名称包含通配符。

进一步的，第二设备根据生成的第一证书生成响应消息，该响应消息包括该第一证书。

第二设备可以使用第二设备的私钥对该响应消息进行签名生成第二签名信息。

第一响应消息还可以包括第二签名信息和第二设备的证书。

S303，第一设备接收第一响应消息，该第一响应消息包含第一证书。

第一设备接收第一响应消息，在第二设备使用密钥签名的情况下，使用第一响应消息中的第一设备的证书中包含的公钥对该第一响应消息进行校验，校验通过后保存该第一证书，并且保存该第二设备的证书和厂商根证书。

应理解，第二设备保存第一证书的方法与现有技术相同，本申请实施例在此不作限定。

图4是本申请实施例提供的一种证书管理方法的一种示意性交互图。图4的方法400是对应于图3的方法300的具体实施步骤。图4所示的方法可以包括步骤S401-S409，下面分别对步骤S401-S409进行详细描述。

本申请实施例中，第一设备为厂商A提供的NF，该第一设备在运营商网络W中。以上仅为示例性说明，对本申请实施例没有限定。

步骤S400(a)：第一设备进行第一预配置。

具体的，第一设备在运营商网络W中，发现运营商的RA/CA，即，第二设备，第一设备可以完成第一预配置。

第一预配置包括：第一设备的实例化，预配置厂商A的证书，配置厂商A的公私钥对。

具体预配置方式在上文中已详细描述，为了简便，在此不进行赘述。

步骤S400(b)：第二设备进行第二预配置。

第二预配置包括：预配置运营商网内所有厂商的根证书，以及运营商W的根证书。

应理解，上述运营商网内所有厂商的根证书包括上述厂商A的根证书。

应理解，上述步骤S400(a)和S400(b)没有顺序限定，该两个步骤的执行顺序对本申请实施例的实施没有影响。

步骤S401：第一设备生成第一请求消息。

第一设备可以根据其功能类型确定请求的第一证书的类型。

具体的，第一设备根据确定的第一证书的类型生成第一请求消息。

应理解，该第一证书的类型包括：客户端证书和/或服务器证书、包含通配符的DNS 名称的客户端证书和/或包含通配符的DNS名称的服务器证书。

在一种可能的实施方式中，第一设备为传输层安全客户端，第一证书为客户端证书，第一请求消息包括第一设备的实例ID、第一设备的完全限定域名FQDN及第一设备的类型中的一种或多种。

可选的，第一请求消息包括第一指示信息，该第一指示信息用于请求客户端证书。

在一种可能的实施方式中，第一设备为传输层安全服务器，第一证书为服务器证书，第一请求消息中还包括第一HTTPS URI，第一HTTPS URI用于标识第一设备提供的服务资源；和/或，

第一请求消息中还包括第二HTTPS URI，第二HTTPS URI用于标识第一设备提供的回拨服务资源。

可选的，第一请求消息包括第二指示信息，该第二指示信息用于请求服务器证书。

在一种可能的实施方式中，第一设备为传输层安全客户端，且还作为传输层安全服务器，第一证书为客户端证书和服务器证书，第一请求消息中还包括第一HTTPS URI，第一HTTPS URI用于标识第一设备提供的服务资源；和/或，

可选的，第一请求消息包括第三指示信息，该第三指示信息用于请求客户端证书和服务器证书。

在一种可能的实施方式中，第一请求消息还可以包括DNS名称。

在一种可能的实施方式中，上述请求消息可以包括上述第一信息和第二信息。

具体的，第一指示信息还可以包括在该第一信息中，该第一指示信息用于指示请求上述客户端证书。

具体的，第二指示信息还可以包括在该第二信息中，该第一指示信息用于指示请求上述服务器证书。

具体的，第一请求消息还可以包括第三指示信息，该第三指示信息用于请求客户端证书和服务器证书。

步骤S402：第一设备发送第一请求消息。

第一设备向第二设备发送第一请求消息，并可以对该第一请求消息使用厂商A的私钥进行签名，生成第一签名信息，请求消息中还包含第一签名信息和厂商A的证书。

步骤S403：第二设备校验第一请求消息中包含的数字签名。

具体的，第二设备接收第一请求消息，使用第一设备发送的厂商A的证书包括的公钥验证第一请求消息中包含的第一签名信息。

步骤S404：第二设备校验第一请求消息中第一设备类型信息的真实性。

第一设备对第一请求消息中请求的设备类型进行校验，是否为第一设备类型对应的第一证书，从而确保该第一设备申请证书的正确性。

该步骤与方法300步骤S302中相应步骤基本一致，为了简便，本申请实施例在此不再赘述。

应理解，第二设备可以校验第一请求消息中第一设备信息的正确性为可选的步骤。第二设备根据第一设备的安全性要求确定是否执行该步骤，例如，第一设备为银行或者精密工业网络中的网络功能，该第一设备对安全性要求较高，则，第二设备执行该步骤。应理解，第二设备确定第一设备安全性要求的方式，本申请实施例对此不作限定。

需要说明的是，以上任意一项校验动作失败，则结束流程或回复异常响应；否则，继续流程。

步骤S405：第二设备根据第一请求消息生成第一证书。

在一种可能的实施方式中，第一请求消息包括第一设备的实例ID、第一设备的完全限定域名及第一设备的类型中的一种或多种，则第二设备生成客户端证书，在该情况下，第一设备可以是传输层安全客户端。

进一步的，第一请求消息还可以包括第一HTTPS URI和/或第二HTTPS URI，则第二设备生成服务器证书，在该情况下，第一设备可以是传输层安全服务器。

进一步的，第一请求消息还可以包括第一HTTPS URI和/或第二HTTPS URI，则第二设备生成客户端证书和服务器证书，在该情况下，第一设备可以是传输层安全服务器和客户端。

生成的客户端证书和服务器证书包括的内容与上述一致。

应理解，第一请求消息包括第一HTTPS URI，第一设备可以作为传输层安全服务器，并且可以作为服务生产者；第一请求消息包括第二HTTPS URI，第一设备作为传输层安全服务器，并且可以作为服务消费者；第一请求消息包括第一HTTPS URI和第二HTTPS URI，第一设备作为传输层安全服务器，并且可以作为服务生产者和服务消费者。

在一种可能的实施方式中，当第一请求消息包括包含通配符的DNS名称，则第二设备生成的客户端证书和/或服务器证书还可以包括包含通配符的DNS名称。

在一种可能的实施方式中，第二设备根据第一请求消息中的第一指示信息和/或第二指示信息和/或第三指示信息确定第一设备请求的第一证书的类型。

例如，第一请求消息包括第一指示信息，则第二设备结合请求消息中的包含的信息生成客户端证书，这种情况下，第一设备可以是传输层安全客户端。

例如，第一请求消息包括第二指示信息，则第二设备结合请求消息中的包含的信息生成服务器证书，这种情况下，第一设备可以是传输层安全服务器。

再例如，第一请求消息包括第三指示信息，或者包括第一指示信息和第二指示信息，则第二设备结合请求消息中的包含的信息生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全客户端和传输层安全服务器。

例如，第一请求消息中包含第一信息，则第二设备结合第一信息生成客户端证书，这种情况下，第一设备可以是传输层安全客户端。

例如，第一请求消息中包含第一信息和第二信息，则第二设备结合第一信息和第二信息生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全服务器和传输层安全客户端。

例如，第一请求消息中部包含第一HTTPS URI和/或第二HTTPS URI，则第二设备生成客户端证书，这种情况下，第一设备可以是传输层安全客户端。

例如，第一请求消息中包含第一HTTPS URI和/或第二HTTPS URI，则第二设备生成服务器证书，这种情况下，第一设备可以是传输层安全服务器。

例如，第一请求消息中包含第一HTTPS URI和/或第二HTTPS URI，则第二设备生成客户端证书和服务器证书，这种情况下，第一设备可以是传输层安全服务器和传输层安全客户端。

例如，第一请求消息还包括包含通配符的DNS名称，则第二设备生成包含通配符DNS名称的客户端证书和/或服务器证书。

具体的，第一证书包括客户端证书和/或服务器证书。

该服务器证书包括：第一设备的实例ID、第一HTTP URI、第二HTTPS URI、第一设备的FQDN、所述第一设备的类型及DNS名称中的一个或多个。

需要注意的是，当所述第一设备的类型为SEPP时，所述DNS名称包含所述通配符。

步骤S406：第二设备生成第一响应消息，其中包含第一证书，并对该消息签名。

第二设备根据生成的第一证书生成第一响应消息，该第一响应消息包括上述生成的第一证书。

第二设备使用第二设备的私钥对该第一响应消息进行签名生成第二签名信息。

第一响应消息还可以包括第二签名信息和第二设备的证书。

步骤S407：第二设备发送第一响应消息。

应理解，第一响应消息还包括第二设备的证书以及运营商W的根证书。

步骤S408：第一设备认证第一响应消息，保存第一证书。

具体的，第一设备接收第一响应消息，在第二设备使用密钥签名的情况下，使用第一响应消息中的第一设备的证书中包含的公钥对该第一响应消息进行校验，校验通过后保存该第二设备的证书和运营商W的根证书。

步骤S409：确认第一证书。

可选的，第一设备和第二设备之间可以进行证书确认流程，以通知第二设备上述第一证书是否正确发放给第一设备。

通过本申请实施例提供的方案，网络功能NF可以根据自身设备的功能类型向RA/CA机构申请相应的证书，从而，能够在5G SBA场景下针对不同NF类型实现证书的配置。

本申请实施例中，第二设备可以是能够配置客户端证书的设备，也可以是能配置服务器证书的设备，也可以是上述描述中同时配置客户端证书和服务器证书的设备，下文实施例中，第二设备可能仅能提供客户端证书的配置，或是仅能提供服务器证书的配置。

在以下实施例中，也可以用于第一设备只申请客户端证书或服务器证书。

以下方法500为第一设备申请客户端证书的说明。

图5是本申请实施例提供的证书管理方法的另一种示意性交互图，方法500可以包括如下步骤：S501-S510。

步骤S500(a)：第一设备进行第一预配置。

该步骤与S400(a)方法相同，为了简便，在此不进行赘述。

步骤S500(b)：第一设备进行第一预配置。

该步骤与S400(b)方法相同，为了简便，在此不进行赘述。

步骤S501：第一设备确定是否申请客户端证书。

步骤S502：生成第二请求消息，该第二请求消息包括第二证书类型。

步骤S503：发送第二请求消息，并对该第二请求消息签名。

步骤S504：校验第二请求消息中包含的数字签名。

步骤S505：校验第二请求消息中第一设备类型信息的真实性。

步骤S506：根据第二请求消息生成第二证书。

步骤S507：生成第二响应消息，其中包含第二证书，并对该消息签名。

步骤S508：发送第二响应消息。

步骤S509：认证第二响应消息，安装第二证书。

步骤S510：确认第二证书。

应理解，上述步骤S501-步骤S510与方法400的步骤S401-S410方法相同，区别在于，在该实施例中，第一设备申请的证书为第二证书，该第二证书指的是仅作为传输层安全客户端申请客户端证书，因此第二请求消息也仅包括客户端证书需要的信息，生成的第二响应消息也只包括客户端证书，方法基本一一致，为避免重复，不再赘述。

以下方法600为第一设备申请服务器证书的说明。

图6是本申请实施例提供的一种证书管理方法的另一种示意性交互图。方法600可以包括如下步骤：S601-S610。

步骤S600(a)：第一设备进行第一预配置。

该步骤与S400(a)方法相同，为了简便，在此不进行赘述。

步骤S600(b)：第一设备进行第一预配置。

该步骤与S400(b)方法相同，为了简便，在此不进行赘述。

步骤S601：第一设备确定是否申请客户端证书。

步骤S602：生成第三请求消息，该第三请求消息包括第三证书类型。

步骤S603：发送第三请求消息，并对该第三请求消息签名。

步骤S604：校验第三请求消息中包含的数字签名。

步骤S605：校验第三请求消息中第一设备类型信息的真实性。

步骤S606：根据第三请求消息生成第三证书。

步骤S607：生成第二响应消息，其中包含第三证书，并对该消息签名。

步骤S608：发送第二响应消息。

步骤S609：认证第二响应消息，安装第三证书。

步骤S610：确认第三证书。

应理解，上述步骤S601-步骤S610与方法400的步骤S401-S409方法相同，区别在于，在该实施例中，第一设备申请的证书为第三证书，该第三证书指的是仅作为传输层安全服务器申请服务器证书，因此第三请求消息也仅包括服务器证书需要的信息，生成的第二响应消息也只包括服务器证书，方法基本一致，为避免重复，不再赘述。

本文中描述的各个实施例可以为独立的方案，也可以根据内在逻辑进行组合，这些方案都落入本申请的保护范围中。

应理解，上述各个实施例中各个步骤仅是一种可能的实现方式，本申请实施例并不做限定。

可以理解的是，上述各个方法实施例中，由用户设备实现的方法和操作，也可以由可用于用户设备的部件(例如芯片或者电路)实现，由接入网设备(如RAN节点)实现的方法和操作，也可以由可用于接入网设备的部件(例如芯片或者电路)实现。

上述主要从各个交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如发射端设备或者接收端设备，为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对发送端设备或者接收端设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以使用硬件的形式实现，也可以使用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以使用对应各个功能划分各个功能模块为例进行说明。

以上，结合图3至图6详细说明了本申请实施例提供的方法。以下，结合图7至图8详细说明本申请实施例提供的装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

图7是本申请实施例提供的证书管理装置的示意性框图。该证书管理装置700包括发送单元710、处理单元720和接收单元730。发送单元710和接收单元730可以实现相应的通信功能，处理单元720用于进行数据处理，以使得通信装置实现前述方法实施例。发送单元710和接收单元730还可以称为通信接口或通信单元。

在一种可能的设计中，该证书管理装置700可对应于根据本申请实施例的方法300、400、500和600中的第一设备。该证书管理装置700可以包括用于执行图3至图6中的方法300～600中的终端设备执行的方法的单元。并且，该证书管理装置700中的单元和上述其他操作和/或功能分别为了实现图3至图6中的方法300～600中的相应流程。

其中，当该证书管理装置700用于执行图3中的方法300，发送单元710可用于执行方法300中的S301；接收单元730可用于执行方法300中的S303。当该证书管理装置700用于执行图4中的方法400，发送单元730可用于执行方法400中的S403；接收单元710可用于执行方法400中的S408；处理单元720可用于执行方法400中的S401、S402、和S409。当该证书管理装置700用于执行图5中的方法500，接收单元710可用于执行方法500中的S503；处理单元720可用于执行方法500中的S501、S502和S509；发送单元730可用于执行方法500中的S503。当该证书管理装置700用于执行图6中的方法600，接收单元710可用于执行方法600中的S603；处理单元720可用于执行方法600中的S601、S602和S609；发送单元730可用于执行方法600中的S603。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

在一种可能的设计中，该证书管理装置700可对应于根据本申请实施例的方法300、400、500和600中的第二设备。该证书管理装置700可以包括用于执行图3至图6中的方法300～600中的终端设备执行的方法的单元。并且，该证书管理装置700中的单元和上述其他操作和/或功能分别为了实现图3至图6中的方法300～600中的相应流程。

其中，当该证书管理装置700用于执行图3中的方法300，处理单元720可用于执行方法300中的S302。当该证书管理装置700用于执行图4中的方法400，发送单元730可用于执行方法400中的S407；接收单元710可用于执行方法400中的S402；处理单元720可用于执行方法400中的S403、S404、S405和S406。当该证书管理装置700用于执行图5中的方法500，接收单元710可用于执行方法500中的S503；处理单元720可用于执行方法500中的S504、S505、S506和S507；发送单元730可用于执行方法500中的S508。当该证书管理装置700用于执行图6中的方法600，接收单元710可用于执行方法600中的S603；处理单元720可用于执行方法600中的S604、S605、S606和S607；发送单元730可用于执行方法600中的S608。应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

上文实施例中的处理单元720可以由至少一个处理器或处理器相关电路实现。收发单元710可以由收发器或收发器相关电路实现。收发单元710还可称为通信单元或通信接口。存储单元可以通过至少一个存储器实现。

如图8所示，本申请实施例还提供一种证书管理装置800。该证书管理装置800包括处理器810，收发器830，处理器810与存储器820耦合，存储器820用于存储计算机程序或指令和/或数据，处理器810用于执行存储器820存储的计算机程序或指令和/或数据。

可选地，该证书管理装置800包括的处理器810为一个或多个。

可选地，如图8所示，证书管理装置800还可以包括存储器820。

可选地，该证书管理装置800包括的存储器820可以为一个或多个。

可选地，该存储器820可以与该处理器810集成在一起，或者分离设置。

作为一种方案，该中继通信装置800用于实现上文方法实施例中由第一设备执行的操作。

例如，处理器810用于实现上文方法实施例中由第一设备执行的处理相关的操作。

作为另一种方案，该证书管理装置800用于实现上文方法实施例中由第二设备执行的操作。

例如，处理器810用于实现上文方法实施例中由第二设备执行的处理相关的操作。

应注意，本申请上述方法实施例可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种证书管理方法，其特征在于，包括：

第一设备发送请求消息，所述请求消息用于向第二设备请求第一证书，所述请求消息包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种；

所述第一设备接收响应消息，所述响应消息包含所述第一证书，所述第一证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种。
一种证书管理方法，其特征在于，包括：

第二设备接收来自所述第一设备的请求消息，所述请求消息包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种；

所述第二设备根据所述请求消息生成所述第一证书；

所述第二设备发送响应消息，所述响应消息包含所述第一证书，所述第一证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种。
根据权利要求2所述的方法，其特征在于，所述请求消息中还包括所述第一设备证书，在所述第二设备根据所述请求消息生成第一证书之前，所述方法还包括以下一项或两项：

所述第二设备验证所述请求消息中的完全限定域名与所述第一设备证书中的完全限定域名一致；

所述第二设备验证所述请求消息中的第一设备的类型与所述第一设备证书中的第一设备的类型一致。
一种证书管理装置，其特征在于，包括：

发送单元，用于发送请求消息，所述请求消息用于向第二设备请求第一证书，所述请求消息包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种；

接收单元，用于从第二设备接收响应消息，所述响应消息包含所述第一证书，所述第一证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种。
一种证书管理装置，其特征在于，包括：

接收单元，用于接收所述第一设备发送的请求消息，所述请求消息包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种；

处理单元，用于根据所述请求消息生成第一证书；

发送单元，用于向第一设备发送响应消息，所述响应消息包含所述第一证书，所述第一证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种。
根据权利要求5所述的证书管理装置，其特征在于，所述请求消息中还包括所述第一设备证书，所述处理单元还用于，在所述第二设备根据所述请求消息生成第一证书之前：

验证所述请求消息中的完全限定域名与所述第一设备证书中的完全限定域名一致；

和/或，

验证所述请求消息中的第一设备的类型与所述第一设备证书中的第一设备类型一致。
根据权利要求1-3中任一项所述的方法，或根据权利要求4-6中任一项所述的装置，其特征在于，所述第一设备为传输层安全客户端，所述第一证书为客户端证书。
根据权利要求7所述的方法或装置，其特征在于，所述请求消息还包括第一指示信息，所述第一指示信息用于请求所述客户端证书。
根据权利要求1-3中任一项所述的方法，或根据权利要求4-6中任一项所述的装置，其特征在于，所述第一设备为传输层安全服务器，所述第一证书为服务器证书；

所述请求消息中还包括第一超文本传输安全协议统一资源标识符HTTPS URI，所述第一HTTPS URI用于标识所述第一设备提供的服务资源；和/或，

所述请求消息中还包括第二HTTPS URI，所述第二HTTPS URI用于标识所述第一设备提供的回拨服务资源；

所述服务器证书还包括所述第一HTTPS URI和/或所述第二HTTPS URI。
根据权利要求9所述的方法或装置，其特征在于，所述请求消息还包括第二指示信息，所述第二指示信息用于请求所述服务器证书。
根据权利要求1-3中任一项所述的方法，或根据权利要求4-6中任一项所述的装置，其特征在于，所述第一设备为传输层安全客户端，且还作为传输层安全服务器，所述第一证书为客户端证书和服务器证书；

所述请求消息中还包括第一HTTPS URI，所述第一HTTPS URI用于标识所述第一设备提供的服务资源；和/或，

所述请求消息中还包括第二HTTPS URI，所述第二HTTPS URI用于标识所述第一设备提供的回拨服务资源；

所述客户端证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种；

所述服务器证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种，以及所述第一HTTPS URI和/或所述第二HTTPS URI。
根据权利要求11所述的方法或装置，其特征在于，所述请求消息还包括第三指示信息，所述第三指示信息用于请求所述客户端证书和所述服务器证书。
根据权利要求1-3，及7-12中任一项所述的方法，或根据权利要求4-12中任一项所述的装置，其特征在于，所述第一证书包括客户端证书和/或服务器证书；

所述客户端证书还包括：DNS名称；

所述服务器证书还包括：DNS名称。
根据权利要求13所述的方法或装置，其特征在于，当所述第一设备的类型为安全边缘保护代理时，所述DNS名称包含所述通配符。
一种证书管理方法，其特征在于，包括：

第一设备向第二设备发送请求消息，所述请求消息用于向所述第二设备请求第一证书，所述请求消息包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种；

所述第二设备根据所述请求消息生成所述第一证书；

所述第二设备向所述第一设备发送响应消息，所述响应消息包含所述第一证书，所述第一证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及所述第一设备的类型中的一种或多种。
根据权利要求15所述的方法，其特征在于，所述请求消息中还包括所述第一设备证书，在所述第二设备根据所述请求消息生成第一证书之前，所述方法还包括以下一项或两项：

所述第二设备验证所述请求消息中的完全限定域名与所述第一设备证书中的完全限定域名一致；

所述第二设备验证所述请求消息中的第一设备的类型与所述第一设备证书中的第一设备的类型一致。
根据权利要求15或16所述的方法，其特征在于，所述第一设备为传输层安全客户端，所述第一证书为客户端证书。
根据权利要求17所述的方法，其特征在于，所述请求消息还包括第一指示信息，所述第一指示信息用于请求所述客户端证书。
根据权利要求15或16所述的方法，其特征在于，所述第一设备为传输层安全服务器，所述第一证书为服务器证书；

所述请求消息中还包括第一超文本传输安全协议统一资源标识符HTTPS URI，所述第一HTTPS URI用于标识所述第一设备提供的服务资源；和/或，

所述请求消息中还包括第二HTTPS URI，所述第二HTTPS URI用于标识所述第一设备提供的回拨服务资源；

所述服务器证书还包括所述第一HTTPS URI和/或所述第二HTTPS URI。
根据权利要求19所述的方法，其特征在于，所述请求消息还包括第二指示信息，所述第二指示信息用于请求所述服务器证书。
根据权利要求15或16所述的方法，其特征在于，所述第一设备为传输层安全客户端，且还作为传输层安全服务器，所述第一证书为客户端证书和服务器证书；

所述请求消息中还包括第一HTTPS URI，所述第一HTTPS URI用于标识所述第一设备提供的服务资源；和/或，

所述请求消息中还包括第二HTTPS URI，所述第二HTTPS URI用于标识所述第一设备提供的回拨服务资源；

所述客户端证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种；

所述服务器证书包括所述第一设备的实例ID、所述第一设备的完全限定域名及第一设备的类型中的一种或多种，以及所述第一HTTPS URI和/或所述第二HTTPS URI。
根据权利要求21所述的方法，其特征在于，所述请求消息还包括第三指示信息，所述第三指示信息用于请求所述客户端证书和所述服务器证书。
根据权利要求15至22项中任一项所述的方法，其特征在于，所述第一证书包括客户端证书和/或服务器证书；

所述客户端证书还包括：DNS名称；

所述服务器证书还包括：DNS名称。
根据权利要求23所述的方法，其特征在于，当所述第一设备的类型为安全边缘保护代理时，所述DNS名称包含所述通配符。
一种证书管理系统，其特征在于，包括如权利要求4以及7至14项中任一项所述的证书管理装置，以及如权利要求5至14项中任一项所述的证书管理装置。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至3或7至14项中任意一项所述的通信方法。