数字证书配置方法、装置、设备、介质和程序产品
文献发布时间:2023-06-19 18:46:07
技术领域
本公开涉及金融及其相关技术领域,具体地涉及一种数字证书配置方法、装置、设备、介质和程序产品。
背景技术
数字证书卸载是指为了帮助缓解安全套接字协议和/或传输层安全协议增加的额外负担,通过可以启动单独的、特定于应用程序的集成电路处理器,执行安全套接字协议和/或传输层安全协议所需的功能,例如,握手、加密以及解密等。
在大规模高并发数字证书分布式卸载系统中需要同时支持国密证书、商密证书、SNI模式等多种模式,同时保证同一个的证书卸载设备集群下的证书、域名和配置保持一致。然而由于证书卸载设备集群众多、同一个集群内的证书卸载设备数量众多、需要支持的场景复杂,系统运行过程中可能会因为设备故障、网络故障、管理系统故障、人为误操作等原因导致证书卸载设备节点上的证书、域名和配置与管理系统中的不一致、同一个证书卸载设备集群中的不同设备节点配置不一致等各种情况。
发明内容
鉴于上述问题,本公开提供了提高数字证书卸载过程中稳定性的数字证书配置方法、装置、设备、介质和程序产品。
根据本公开的第一个方面,提供了一种数字证书配置方法,包括:对数字证书生成端新生成的数字证书执行预校验操作;在所述预校验操作通过的情况下,将所述数字证书下发至证书卸载设备集群;对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作,所述核对操作用以核对所述数字证书内容的一致性;以及在所述核对操作通过的情况下,完成所述数字证书的部署。
根据本公开的实施例,其中,在所述对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作后,所述方法还包括:在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书修正所述证书卸载设备集群保存的数字证书;对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行所述核对操作;以及在所述核对操作通过的情况下,完成所述数字证书的部署。
根据本公开的实施例,其中,所述证书卸载设备集群包括主节点和多个其他节点,在所述完成所述数字证书的部署后,所述方法还包括:定期对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作;以及在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书和所述主节点保存的数字证书执行校准操作。
根据本公开的实施例,其中,所述方法还包括:定期对所述主节点保存的数字证书和所述其他节点保存的数字证书执行所述核对操作;以及在所述核对操作不通过的情况下,基于所述主节点保存的数字证书和所述其他节点保存的数字证书执行校准操作。
根据本公开的实施例,其中,所述基于所述数字证书生成端保存的数字证书和所述主节点保存的数字证书执行校准操作,包括:基于所述数字证书生成端保存的数字证书修正所述主节点保存的数字证书;或者基于所述主节点保存的数字证书修正所述数字证书生成端保存的数字证书。
根据本公开的实施例,其中,所述基于所述主节点保存的数字证书和所述其他节点保存的数字证书执行校准操作,包括:选取确定与所述主节点保存的数字证书不一致的其他节点;以及基于所述主节点保存的数字证书修正所述不一致的其他节点保存的数字证书。
根据本公开的实施例,其中,所述数字证书包括:密钥长度、密钥类型、证书签名算法以及证书有效期,所述预校验操作包括:检查所述密钥长度是否为预设长度;检查所述密钥类型是否为预设类型;检查所述证书签名算法是否为预设算法;以及基于所述证书有效期检查所述证书是否处于有效期内。
根据本公开的实施例,其中,所述核对操作包括:核对证书指纹的一致性;核对证书生效时间的一致性;核对证书到期时间的一致性;以及核对证书最后修改时间的一致性。
根据本公开的实施例,其中,所述证书指纹是以哈希编码的形式存在的。
本公开的第二个方面,提供了一种数字证书配置装置,包括:预校验模块,用于对数字证书生成端新生成的数字证书执行预校验操作;证书下发模块,用于在所述预校验操作通过的情况下,将所述数字证书下发至证书卸载设备集群;核对模块,用于对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作,所述核对操作用以核对所述数字证书内容的一致性;以及部署截止模块,用于在所述核对操作通过的情况下,完成所述数字证书的部署。
根据本公开的实施例,其中,所述装置还包括配置修正模块,用于在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书修正所述证书卸载设备集群保存的数字证书;对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行所述核对操作;以及在所述核对操作通过的情况下,完成所述数字证书的部署。
根据本公开的实施例,其中,所述证书卸载设备集群包括主节点和多个其他节点,所述装置还包括定期检查与校准模块,用于定期对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作;以及在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书和所述主节点保存的数字证书执行校准操作。
根据本公开的实施例,其中,所述定期检查与校验模块,还用于定期对所述主节点保存的数字证书和所述其他节点保存的数字证书执行所述核对操作;以及在所述核对操作不通过的情况下,基于所述主节点保存的数字证书和所述其他节点保存的数字证书执行校准操作。
根据本公开的实施例,其中,所述定期检查与校验模块,还用于基于所述数字证书生成端保存的数字证书修正所述主节点保存的数字证书;或者基于所述主节点保存的数字证书修正所述数字证书生成端保存的数字证书。
根据本公开的实施例,其中,所述定期检查与校验模块,还用于选取确定与所述主节点保存的数字证书不一致的其他节点;以及基于所述主节点保存的数字证书修正所述不一致的其他节点保存的数字证书。
根据本公开的实施例,其中,所述数字证书包括:密钥长度、密钥类型、证书签名算法以及证书有效期,所述预校验操作包括:检查所述密钥长度是否为预设长度;检查所述密钥类型是否为预设类型;检查所述证书签名算法是否为预设算法;以及基于所述证书有效期检查所述证书是否处于有效期内。
根据本公开的实施例,其中,所述核对操作包括:核对证书指纹的一致性;核对证书生效时间的一致性;核对证书到期时间的一致性;以及核对证书最后修改时间的一致性。
根据本公开的实施例,其中,所述证书指纹是以哈希编码的形式存在的。
本公开的第三个方面,提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述数字证书配置方法。
本公开的第四个方面,还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述数字证书配置方法。
本公开的第五个方面,还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述数字证书配置方法。
在本公开的实施例中,在数字证书的部署阶段,应对集群数量庞大、集群内设备数量众多时,通过对数字证书及其配置的预校验,保证证书及配置下发的准确性;在下发后再次校验一致性,考虑对下发后可能因网络波动、设备故障等原因导致的配置有误的情况,在校验通过的情况下完成本次部署。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的数字证书配置方法的应用场景图;
图2A示意性示出了根据本公开实施例的数字证书配置方法的流程图;
图2B示意性示出了根据本公开实施例的数字证书配置方法的流程图;
图3A示意性示出了根据本公开实施例的数字证书配置方法的流程图;
图3B示意性示出了根据本公开实施例的数字证书配置方法的流程图;
图4A示意性示出了根据本公开实施例中的一种数字证书卸载系统的示意图;
图4B示意性示出了根据本公开实施例的一种数字证书卸载系统的示意图;
图5示意性示出了根据本公开实施例的数字证书配置装置的结构框图;以及
图6示意性示出了根据本公开实施例的适于实现数字证书配置方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
在对本公开的实施例进行详细揭示之前,对本公开的实施例中涉及的关键技术术语进行一一说明:
数字证书卸载:是指为了帮助缓解安全套接字协议和/或传输层安全协议增加的额外负担,通过可以启动单独的、特定于应用程序的集成电路处理器,执行安全套接字协议和/或传输层安全协议所需的功能,例如,握手、加密以及解密等。
数字证书卸载设备:为实现数字证书卸载而提供的设备。
国密:全称为“国家商用密码”,拼音缩写是SM。国密是由中国密码管理局制定的密码标准,是用于商用的,不涉及国家秘密的密码技术。
商密:本文用于代指国际流行的非国密证书加密算法。
服务器名称指示:(Server Name Indication,简称为SNI),是TLS的一个扩展协议,在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的IP地址和TCP端口号上呈现多个证书,并且因此允许在相同的IP地址上提供多个安全(HTTPS)网站(或其他任何基于TLS的服务),而不需要所有这些站点使用相同的证书。国密证书、商密证书都可以适用SNI场景。
目前,在大规模高并发数字证书分布式卸载系统中,国密证书、商密证书、SNI模式和域名等配置项需要管理系统下发至多台硬件设备上,各个设备接收到证书及配置项之后,自动装配到硬件系统中,并生效提供服务。
在大规模高并发数字证书分布式卸载系统中需要同时支持国密证书、商密证书、SNI模式等多种模式,同时保证同一个的证书卸载设备集群下的证书、域名和配置保持一致。然而由于证书卸载设备集群众多、同一个集群内的证书卸载设备数量众多、需要支持的场景复杂,系统运行过程中可能会因为设备故障、网络故障、管理系统故障、人为误操作等原因导致证书卸载设备节点上的证书、域名和配置与管理系统中的不一致、同一个证书卸载设备集群中的不同设备节点配置不一致等各种情况。
为解决现有技术中存在的技术问题,本公开的实施例提供了一种数字证书配置方法,包括:对数字证书生成端新生成的数字证书执行预校验操作;在所述预校验操作通过的情况下,将所述数字证书下发至证书卸载设备集群;对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作,所述核对操作用以核对所述数字证书内容的一致性;以及在所述核对操作通过的情况下,完成所述数字证书的部署。
在本公开的实施例中,在数字证书的部署阶段,应对集群数量庞大、集群内设备数量众多时,通过对数字证书及其配置的预校验,保证证书及配置下发的准确性;在下发后再次校验一致性,考虑对下发后可能因网络波动、设备故障等原因导致的配置有误的情况,在校验通过的情况下完成本次部署。
图1示意性示出了根据本公开实施例的数字证书配置方法的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括终端101、102、103、网络104以及服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的数字证书配置方法一般可以由服务器105执行。相应地,本公开实施例所提供的数字证书配置装置一般可以设置于服务器105中。本公开实施例所提供的数字证书配置方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的数字证书配置装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2A~图4B对公开实施例的数字证书配置方法进行详细描述。
图2A示意性示出了根据本公开实施例的数字证书配置方法的流程图。
如图2A所示,该实施例的数字证书配置方法包括操作S210~操作S240,该数字证书配置方法可以由服务器105执行。
在操作S210,对数字证书生成端新生成的数字证书执行预校验操作。
其中,数字证书生成端可以是证书卸载设备集群以外的任意设备端,例如,数字证书生成端可以是部署于服务器105上的,也可以是部署在独立于服务器105的其他设备上的。在数字证书生成端中,可以实现最初的数字证书生成。上述数字证书至少包括国密证书、商密证书、SNI模式等多种证书。
根据本公开的实施例,其中,所述数字证书包括:密钥长度、密钥类型、证书签名算法以及证书有效期,所述预校验操作包括:检查所述密钥长度是否为预设长度;检查所述密钥类型是否为预设类型;检查所述证书签名算法是否为预设算法;以及基于所述证书有效期检查所述证书是否处于有效期内。
例如,上述预校验的内容如下:
国密私钥:检查私钥类型是否为国密,检查keylen是否为256。
商密私钥:检查私钥类型是否为EVP_PKEY_RSA_PSS,EVP_PKEY_RSA,EVP_PKEY_EC,检查keylen是否为256,384,521,1024,2048,4096中某一个的值。
国密证书:检查证书密钥类型是否为国密,检查keylen是否为256或者keylen是否小于0,检查证书的签名算法是否为sm3WithSM2Encryption。
商密证书:检查证书的密钥类型是否为EVP_PKEY_RSA_PSS,EVP_PKEY_RSA,EVP_PKEY_EC;检查keylen是否为256,384,512,1024,2048,4096中某一个的值;检查证书的有效性,判断是否为处于有效期内。
在操作S220,在所述预校验操作通过的情况下,将所述数字证书下发至证书卸载设备集群。
具体的,上述的数字证书生成端对应的证书卸载设备集群是多个的,其中,单个证书卸载设备集群中又包括多个证书卸载设备,同样的,证书卸载设备集群又对应多个后端业务节点集群。将配置好的国密证书、商密证书以及SNI模型下发至证书卸载设备集群。当然,下发的内容还包括数字证书生成端的域名信息。
在操作S230,对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作,所述核对操作用以核对所述数字证书内容的一致性。
根据本公开的实施例,其中,所述核对操作包括:核对指纹的一致性;核对证书生效时间的一致性;核对证书到期时间的一致性;以及核对证书最后修改时间的一致性。
根据本公开的实施例,其中,所述证书指纹是以哈希编码的形式存在的。
在数字证书下发后,再对证书卸载设备中的数字证书的配置进行检查,检查证书卸载设备保存的数字证书与数字证书生成端保存的数字证书的一致性。具体的,根据哈希算法提取证书指纹、获取证书生效时间、获取证书到期时间、获取证书对应配置的最后修改时间和配置具体内容,进而进行一致性核对。
在操作S240中,在所述核对操作通过的情况下,完成所述数字证书的部署。
在本公开的实施例中,在数字证书的部署阶段,应对集群数量庞大、集群内设备数量众多时,通过对数字证书及其配置的预校验,保证证书及配置下发的准确性;在下发后再次校验一致性,考虑对下发后可能因网络波动、设备故障等原因导致的配置有误的情况,在校验通过的情况下完成本次部署。
图2B示意性示出了根据本公开实施例的数字证书配置方法的流程图。
如图2B所示,该实施例的数字证书配置方法除了上述操作S210~操作S240,还包括操作S250~操作S270。
在操作S250中,在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书修正所述证书卸载设备集群保存的数字证书。
也就是说,以数字证书生成端保存的数字证书为准,实现证书卸载设备集群的数字证书修改。需要说明的是,上述操作S250则执行于上述操作S230后。
在操作S260中,对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行所述核对操作。
同样的,根据哈希算法提取证书指纹、获取证书生效时间、获取证书到期时间、获取证书对应配置的最后修改时间和配置具体内容,进而进行一致性核对。
在操作S270中,在所述核对操作通过的情况下,完成所述数字证书的部署。
需要说明的是,在本公开的实施例中,将数字证书的配置过程分为部署阶段和维护阶段,上述操作S210~操作S240或者上述操作S210~操作S270是处于部署阶段时的操作,为了进一步保证数字证书卸载集群的有效性,在实现部署后仍需要继续维护。
图3A示意性示出了根据本公开实施例的数字证书配置方法的流程图。
如图3A所示,该实施例的数字证书配置方法包括操作S310~S320。
在操作S310中,定期对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作。
具体的,根据哈希算法提取证书指纹、获取证书生效时间、获取证书到期时间、获取证书对应配置的最后修改时间和配置具体内容,进而进行一致性核对。
在操作S320中,在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书和所述主节点保存的数字证书执行校准操作。
上述校准操作是指以其中某一端的数字证书修正另一端的数字证书。其中,所述证书卸载设备集群包括主节点和多个其他节点(或称备用节点)。具体的,在每个证书卸载设备集群中有一台证书卸载设备作为主节点,剩下的证书卸载设备作为其他节点。一般情况下,证书卸载设备集群保存的数字证书,是指保存在主节点中的数字证书。
根据本公开的实施例,其中,所述基于所述数字证书生成端保存的数字证书和所述主节点保存的数字证书执行校准操作,包括:基于所述数字证书生成端保存的数字证书修正所述主节点保存的数字证书;或者基于所述主节点保存的数字证书修正所述数字证书生成端保存的数字证书。
具体的,接收校准指令,根据校准指令完成更新,其中,校准指令包括以某一方为正确配置的数字证书,以正确配置的数字证书修正错误配置的数字证书,可以理解的是,校准指令可以是通过运维/管理人员自行设置的。例如,管理员收到告警之后,确认哪一方为正确配置,然后通过将正确的配置同步到设备主节点或者数字证书生成端当中。
图3B示意性示出了根据本公开实施例的数字证书配置方法的流程图。
如图3B所示,该实施例的数字证书配置方法除了上述操作S310~操作S320,还包括操作S330~S340。
在操作S330中,定期对所述主节点保存的数字证书和所述其他节点保存的数字证书执行所述核对操作。
具体的,根据哈希算法提取证书指纹、获取证书生效时间、获取证书到期时间、获取证书对应配置的最后修改时间和配置具体内容,进而进行一致性核对。
在操作S340中,在所述核对操作不通过的情况下,基于所述主节点保存的数字证书和所述其他节点保存的数字证书执行校准操作。
可以理解的是,所述核对操作不通过是指上述任意一项核对项不一致。
根据本公开的实施例,其中,所述基于所述主节点保存的数字证书和所述其他节点保存的数字证书执行校准操作,包括:选取确定与所述主节点保存的数字证书不一致的其他节点;以及基于所述主节点保存的数字证书修正所述不一致的其他节点保存的数字证书。
下面将以一个具体的实施场景,对本公开实施例的数字证书配置进行详细揭示,如下所示:
图4A示意性示出了根据本公开实施例中的一种数字证书卸载系统的示意图。
如图4A所示,图4A的数字卸载系统410包括软件模块“流量负载均衡模块”以及“管理系统模块”,硬件设备“证书卸载设备集群”以及“业务节点集群”。
在数字证书部署时,所有接入数字证书卸载系统的业务系统需要在管理系统创建配置信息和传入证书,然后由管理系统将配置和证书下发到对应的证书卸载设备集群使其生效。
在数字证书卸载时,当流量请求通过流量负载均衡转发到证书卸载集群后,证书卸载集群将对请求进行证书卸载,然后将请求转发到业务节点集群中,使其实现相应的业务。
但是,在该体系中,管理系统对应众多的证书卸载设备集群,单个的证书卸载设备集群中又拥有众多证书卸载设备,单个的证书卸载设备集群又对应多个后端业务节点集群。在这种情况下,在整个数字证书卸载系统运行过程中,可能会因为设备故障、网络故障、管理系统故障、人为误操作等原因,导致证书卸载设备集群上的证书、域名和配置与管理系统中的不一致、同一证书卸载设备集群中的不同设备配置不一致等各种故障。最终,致使业务无法正常开展。
图4B示意性示出了根据本公开实施例的一种数字证书卸载系统的示意图。
如图4B所示,图4B的数字卸载系统420包括软件模块“流量负载均衡模块”以及“管理系统模块”,硬件设备“证书卸载设备集群”以及“业务节点集群”。而本公开实施例的数字证书配置方法配置于“管理系统模块”与“证书卸载设备集群”之间。
在数字证书部署时,所有接入数字证书卸载系统的业务系统需要在管理系统创建配置信息和传入证书,然后对管理系统中新生成的证书进行正确性的校验,由管理系统将配置和证书下发到对应的证书卸载设备集群使其生效。
在数字证书维护时,定时检查集群主节点与管理系统中配置是否一致的检查;定时检查统一集群下主节点的证书/配置是否与其他节点一致。
在数字证书卸载时,当流量请求通过流量负载均衡转发到证书卸载集群后,证书卸载集群将对请求进行证书卸载,然后将请求转发到业务节点集群中,使其实现相应的业务。
在本公开的实施例中,在数字证书的部署阶段,应对集群数量庞大、集群内设备数量众多时,通过对数字证书及其配置的预校验,保证证书及配置下发的准确性;在下发后再次校验一致性,考虑对下发后可能因网络波动、设备故障等原因导致的配置有误的情况,在校验通过的情况下完成本次部署。
基于上述数字证书配置方法,本公开还提供了一种数字证书配置装置。以下将结合图5对该装置进行详细描述。
图5示意性示出了根据本公开实施例的数字证书配置装置的结构框图。
如图5所示,该实施例的数字证书配置装置500包括预校验模块510、证书下发模块520、核对模块530以及部署截止模块540。
预校验模块510用于对数字证书生成端新生成的数字证书执行预校验操作。在一实施例中,预校验模块510可以用于执行前文描述的操作S210,在此不再赘述。
证书下发模块520用于在所述预校验操作通过的情况下,将所述数字证书下发至证书卸载设备集群。在一实施例中,证书下发模块520可以用于执行前文描述的操作S220,在此不再赘述。
核对模块530用于对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作,所述核对操作用以核对所述数字证书内容的一致性。在一实施例中,核对模块530可以用于执行前文描述的操作S230,在此不再赘述。
部署截止模块540用于在所述核对操作通过的情况下,完成所述数字证书的部署。在一实施例中,部署截止模块540可以用于执行前文描述的操作S240,在此不再赘述。
在本公开的实施例中,在数字证书的部署阶段,应对集群数量庞大、集群内设备数量众多时,通过对数字证书及其配置的预校验,保证证书及配置下发的准确性;在下发后再次校验一致性,考虑对下发后可能因网络波动、设备故障等原因导致的配置有误的情况,在校验通过的情况下完成本次部署。
根据本公开的实施例,其中,所述装置还包括配置修正模块,用于在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书修正所述证书卸载设备集群保存的数字证书;对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行所述核对操作;以及在所述核对操作通过的情况下,完成所述数字证书的部署。
根据本公开的实施例,其中,所述证书卸载设备集群包括主节点和多个其他节点,所述装置还包括定期检查与校准模块,用于定期对所述数字证书生成端保存的数字证书和所述证书卸载设备集群保存的数字证书执行核对操作;以及在所述核对操作未通过的情况下,基于所述数字证书生成端保存的数字证书和所述主节点保存的数字证书执行校准操作。
根据本公开的实施例,其中,所述定期检查与校验模块,还用于定期对所述主节点保存的数字证书和所述其他节点保存的数字证书执行所述核对操作;以及在所述核对操作不通过的情况下,基于所述主节点保存的数字证书和所述其他节点保存的数字证书执行校准操作。
根据本公开的实施例,其中,所述定期检查与校验模块,还用于基于所述数字证书生成端保存的数字证书修正所述主节点保存的数字证书;或者基于所述主节点保存的数字证书修正所述数字证书生成端保存的数字证书。
根据本公开的实施例,其中,所述定期检查与校验模块,还用于选取确定与所述主节点保存的数字证书不一致的其他节点;以及基于所述主节点保存的数字证书修正所述不一致的其他节点保存的数字证书。
根据本公开的实施例,其中,所述数字证书包括:密钥长度、密钥类型、证书签名算法以及证书有效期,所述预校验操作包括:检查所述密钥长度是否为预设长度;检查所述密钥类型是否为预设类型;检查所述证书签名算法是否为预设算法;以及基于所述证书有效期检查所述证书是否处于有效期内。
根据本公开的实施例,其中,所述核对操作包括:核对证书指纹的一致性;核对证书生效时间的一致性;核对证书到期时间的一致性;以及核对证书最后修改时间的一致性。
根据本公开的实施例,其中,所述证书指纹是以哈希编码的形式存在的。
根据本公开的实施例,预校验模块510、证书下发模块520、核对模块530以及部署截止模块540中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,预校验模块510、证书下发模块520、核对模块530以及部署截止模块540中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,预校验模块510、证书下发模块520、核对模块530以及部署截止模块540中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的适于实现数字证书配置方法的电子设备的方框图。
如图6所示,根据本公开实施例的电子设备600包括处理器601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 603中,存储有电子设备600操作所需的各种程序和数据。处理器601、ROM602以及RAM 603通过总线604彼此相连。处理器601通过执行ROM 602和/或RAM 603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 602和RAM 603以外的一个或多个存储器中。处理器601也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备600还可以包括输入/输出(I/O)接口605,输入/输出(I/O)接口605也连接至总线604。电子设备600还可以包括连接至I/O接口605的以下部件中的一项或多项:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 602和/或RAM 603和/或ROM 602和RAM 603以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的方法。
在该计算机程序被处理器601执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分609被下载和安装,和/或从可拆卸介质611被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。