CN108370374B - 证书更新和部署 - Google Patents
证书更新和部署 Download PDFInfo
- Publication number
- CN108370374B CN108370374B CN201680071884.7A CN201680071884A CN108370374B CN 108370374 B CN108370374 B CN 108370374B CN 201680071884 A CN201680071884 A CN 201680071884A CN 108370374 B CN108370374 B CN 108370374B
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- resource
- behalf
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
多租户环境的证书管理器可被授权为所述环境的客户自动更新证书。在所述证书的所述有效时段结束之前,所述证书管理器可代表所述客户获得新证书,并通知所述客户所述证书已准备好进行部署。所述证书将不会被部署,直到所述客户释放对所述证书的所述保存。如果未接收到任何这类指令,则可向所述客户发送关于即将结束的所述有效时段的通知,并且这些通知可以增加的频率进行发送。如果在所述有效时段到期之前未接收到任何通知,则所述证书管理器可自动部署所述证书,以确保为所述客户使有效证书保留在所述相关联的资源上的适当位置。
Description
背景技术
用户越来越多地使用远程计算资源(其通常称为“云”的一部分)来执行任务。这具有许多优点,因为用户不必购买和维护专用硬件和软件,而是可以仅支付任何给定时间处需要的那些资源,其中这些资源典型地将由资源或“云”提供商管理。情况通常是,用户会想要一个或多个云资源来代表用户执行动作。这些动作中的至少一些可能需要一些验证:资源被授权代表用户执行这种任务或动作和/或用户被授权执行这种任务或动作。在可采取某些动作之前,其他动作可能需要一定的安全保证,诸如来确保通信链路是安全的。尽管可发布启用这些动作的各种安全凭证,但是这些凭证可能会到期,这可导致相关联的功能不可用,直到问题被发现并且新凭证落实在适当位置。
附图说明
将参考附图描述根据本公开的各种实施方案,在附图中:
图1示出可实现各种实施方案的示例性环境。
图2示出示例性环境,其中证书管理器可致使自动地更新、保存和部署可根据各种实施方案来利用的证书。
图3示出用于获得和部署可根据各种实施方案来利用的新证书的示例性过程。
图4示出用于通知客户证书即将到期并且部署可根据各种实施方案来利用的新证书的示例性过程。
图5示出用于防止针对可根据各种实施方案来利用的固定证书执行更新和部署过程的示例性过程。
图6示出可用于实现各种实施方案的各方面的计算装置的示例性部件。
具体实施方式
在以下描述中,将描述各种实施方案。出于解释的目的,将阐述特定的配置和细节,以便提供对实施方案的透彻理解。然而,对本领域的技术人员将明显的是,在没有特定细节的情况下也可实践实施方案。此外,为了不使所描述的实施方案晦涩,可省略或简化众所周知的特征。
本文所描述和建议的方法涉及电子环境中的资源的管理。在至少一些实施方案中,诸如证书管理器的***、服务或部件可被配置和授权来代表多租户环境的客户管理证书。证书管理器可接收证书并致使证书部署到适当的资源。证书管理器还可维护证书与资源之间的一系列关联、以及关于这些证书的有效时段的信息。当证书的有效时段就要结束时,证书管理器可被授权诸如通过代表客户为新证书联系证书颁发机构来自动更新证书。证书管理器可被配置来保存新证书,并通知客户有待部署的新证书的可用性,而不是部署证书。如果接收到部署指令,则证书管理器可致使部署证书。如果未接收到指令,则证书管理器可以增加的频率向客户发送附加通知。如果在当前证书到期之前没有接收到任何指令,则证书管理器可被授权将证书自动部署到相关联的资源,以确保客户可获得有效的证书。
鉴于本文所包含的教义和建议,对于本领域普通技术人员来说明显的是,在各种实施方案的范围内,也可使用各种其他这类功能。
图1示出可实现各种实施方案的各方面的示例性环境100。在这个实例中,用户能够利用客户端装置102来跨至少一个网络104向资源提供商环境106提交请求。客户端装置可包括可操作来在适当的网络上发送和接收请求、消息或其他这类信息并将信息传送回装置的用户的任何适当的电子装置。这类客户端装置的实例包括个人计算机、平板计算机、智能电话、笔记本计算机等。至少一个网络104可包括任何适当的网络,包括内联网、互联网、蜂窝网、局域网(LAN)或任何其他这类网络或组合,并且跨网络的通信可通过有线和/或无线连接实现。资源提供商环境106可包括用于接收请求并响应于这些请求来返回信息或执行动作的任何适当的部件。作为实例,提供商环境可包括Web服务器和/或应用服务器,其用于接收和处理请求,然后响应于所述请求返回数据、网页、视频、音频或其他这类内容或信息。
在各种实施方案中,提供商环境(即,“多租户环境”)可包括各种类型的电子资源,所述电子资源可由多个用户出于各种不同的目的同时使用。在至少一些实施方案中,给定资源或资源组的全部或一部分可至少在一段确定时间段内被分配到具体用户或被分配用于具体任务。共享来自提供商环境的这些多租户资源通常称为资源共享、Web服务或“云计算”等其他这类术语,并且取决于特定的环境和/或实现方式。在这个实例中,提供商环境包括一种或多种类型的多个电子资源114。这些类型可包括例如可操作来处理由用户提供的指令的应用服务器或可操作来响应于用户请求处理存储在一个或多个数据存储区116中的数据的数据库服务器。已知出于这类目的,用户还可在给定的数据存储区中保留至少一部分数据存储。用于使用户能够保留各种资源和资源实例的方法在本领域中是公知的,使得整个过程的详细描述以及所有可能部件的解释将不在本文中详细论述。
在至少一些实施方案中,想要利用资源114的一部分的用户可提交请求,所述请求在提供商环境106的接口层108处接收。接口层可包括应用编程接口(API)或其他暴露接口,使用户能够向提供商环境提交请求。这个实例中的接口层108还可同样包括其他部件,诸如至少一个Web服务器、路由部件、负载均衡器等。当在接口层108处接收到提供资源的请求时,所述请求的信息可被引导到资源管理器110或被配置来管理用户账户和信息、资源供应和使用以及其他这类方面的其他这类***、服务或部件。接收请求的资源管理器110可执行任务,诸如认证提交请求的用户的身份以及确定该用户是否具有资源提供商的现有账户,其中账户数据可存储在提供商环境中的至少一个数据存储区112中。用户可提供各种类型的凭证中的任何一个,以便向提供商认证用户的身份。这些凭证可包括例如用户名和密码对、生物计量数据、数字签名或其他这类信息。提供商可根据为用户存储的信息来确认这种信息。如果用户拥有具有适当许可、状态等的帐户,则资源管理器可确定是否有足够的可用资源来适合用户的请求,并且如果是,则可提供资源或以其他方式准许访问这些资源的对应部分供用户以所述请求指定的量来使用。这个量可包括例如处理单个请求或执行单个任务的能力、特定时间段或循环/可更新时段等其他这类值。如果用户不具有提供商的有效帐户,则用户帐户无法实现访问请求中指定的资源类型,或者另一个这种原因阻止用户获得对这类资源的访问,则可向用户发送通信以使用户能够创建或修改账户、或者更改请求中指定的资源等其他这类选项。
当用户被认证、帐户被验证、并且资源被分配时,用户可以指定的容量、数据传输量、时间段或其他这类值来利用所分配的资源。在至少一些实施方案中,用户可提供会话令牌或其他这类凭证给后续请求,以便使那些请求能够在该用户会话上得到处理。用户可接收资源标识符、特定地址或可使客户端装置102能够与分配的资源通信而不必与资源管理器110通信的其他这类信息,至少直到诸如用户账户的相关方面更改、用户不再被准许访问资源、或另一个这种方面更改的时间。
这个实例中的资源管理器110(或另一个这种***或服务)还可用作硬件和软件部件的虚拟层,其除了管理动作之外还处理控制功能,如可包括供应、缩放、复制等。资源管理器可利用接口层108中的专用API,其中每个API可被提供来接收对有待相对于数据环境执行的至少一个特定动作的请求,诸如提供、缩放、复制或休眠实例。在接收对一个API的请求时,接口层的Web服务部分可解析或以其他方式分析请求来确定需要作用于或处理调用的步骤或动作。例如,可接收包括对创建数据存储库的请求的Web服务调用。
至少一个实施方案中的接口层108包括可扩展的一组面向客户的服务器,所述面向客户的服务器可提供各种API并基于API规格返回适当的响应。接口层还可包括至少一个API服务层,所述API服务层在一个实施方案中由处理面向外部客户API的无状态、复制服务器组成。接口层可负责Web服务前端特征,诸如基于凭证认证客户;授权客户;将客户请求限流到API服务器;确认用户输入;以及封送或解封送请求和响应。API层还可以负责响应于API调用,从管理数据存储区读取数据库配置数据/将数据库配置数据写入到管理数据存储区。在许多实施方案中,Web服务层和/或API服务层将是唯一外部可见的部件,或对于控制服务的客户可见并可被控制服务的客户访问的唯一部件。如在本领域中已知的,Web服务层的服务器可以是无状态的和水平缩放的。API服务器、以及持久性数据存储区可传遍区域中的多个数据中心,例如使得服务器可适应单个数据中心故障。
在至少一些实施方案中,诸如证书颁发机构(CA)120的服务提供商可执行各种任务,诸如提供证书或用于验证用户身份和生成(能够验证对某些元素的控制、设置和/或初始化电子邮件地址、确认别名等的)信息的其他信息。用户可能正在客户端装置上运行应用118,以用于执行例如需要控制证明的任务。在这个实例中,应用118可跨至少一个网络104向资源提供商环境106发送请求以使环境的资源114执行特定的任务。由于任务需要控制的验证,因此客户端装置102(或资源提供商环境106)可联系证书颁发机构120或其他服务提供商来发布证书或用于提供这类验证的其他这类信息。服务提供商可以是已知或用于这类目的的任何适当的实体或颁发机构,如可将信息、凭证、发布的证书和其他信息存储在本地数据存储区122或其他这类存储库中。一般来讲,证书颁发机构是执行身份确认和其他相关任务的可信赖的提供商。如本文将稍后论述的,这类标识信息可被提供来验证对元素的控制,这可使得资源环境106能够执行各种任务,诸如与同具体领域相关联的第三方***124建立安全通信等其他这类选项。来自证书颁发机构的证书或来自服务提供商的其他这类信息可能足以验证身份,但可能在至少一些情况下不足以验证控制。
在一些情况下,资源提供商环境的客户可能需要将一个或多个证书部署到整个环境中的适当位置。如图2的示例性情况200所示,这些可包括例如提供到负载均衡器202(其被配置来引导与客户相关联的流量)或者一个或多个边缘服务器204(或其他内容递送网络)(其被配置来代表客户提供内容(例如,网页、图像或视频)的证书。证书管理器206或其他这类***或服务可负责管理资源提供商环境中的证书。这可包括例如将证书或证书的信息存储到证书数据存储区208或其他这类存储库。证书数据存储区208可包括信息214,诸如用于请求或获得证书的公钥和私钥对等其他这类选项。证书管理器还可被委派诸如通过发送由负载均衡器202使用的证书210或由一个或多个边缘服务器使用的证书212来部署证书。鉴于本文所包含的教义和建议,各种其他资源和部件可出于各种任务和目的利用证书,并且将得到本领域普通技术人员的理解。
在至少一些实施方案中,证书管理器206可支持诸如针对资源提供商环境的至少一些客户的自动证书更新的功能。这可包括例如追踪多个证书中的每个证书的到期时间(或有效时段),然后确定证书何时处于距相应到期的阈值时段或时间内。所有证书的阈值可以是相同的(诸如到期前的一天或一小时),或者可根据证书、证书类型、客户或其他这类信息而有所不同。在此时,证书管理器206可接触证书颁发机构120或其他这类服务提供商,以代表相应的客户获得新的证书。在适当的时间,证书管理器可被配置来将新证书部署到资源提供商环境中的适当资源,诸如负载均衡器或内容递送网络等其他这类部件。
在这个实例中,证书管理器206被配置来在代表客户获得新证书或以其他方式更新先前证书之后、在至少一段确定时间段内保存证书。在获得新证书时,证书管理器206可被配置来通知客户:新证书已准备好进行部署。通知可以是任何适当的通知,诸如电子邮件消息、SMS消息、发送到在与客户相关联的客户端装置102上执行的应用118的通知等。可使用任何适当的机制来确定通知的类型,诸如客户或资源提供商的指定、自动检测、客户账户信息等。在一些实施方案中,不同的通知可通过不同的方法发送。例如,初始通知可通过电子邮件来发送,而接近到期时间的通知可通过电子邮件和SMS等其他这类选项发送。在一些实施方案中,证书管理器206将新证书保存在证书数据存储区208或其他这类存储库中,直到代表客户接收到指令(即,通过API调用)去部署新证书。这可包括例如客户(或与客户相关联的授权人员)通过管理控制台或其他这类接口批准部署。使客户能够确定何时部署证书的优点在于,一些客户可能更喜欢在存在最小影响时部署证书:诸如当网站流量较低时或当有人在待命以支持可能有关于新证书的问题的客户时。客户也可能更喜欢在部署之前进行测试新证书等其他这类选项。
然而,情况可能是,客户将不会响应于证书管理器发送(或以其他方式提供)的通知。在这种情况下,证书管理器可被配置来定期通知客户即将到期的当前凭证以及准备新凭证进行部署。这些消息可通过以下方式进行发送:定期、在指定的时间处、或以增加的频率等其他这类选项。在一些实施方案中,当距到期至少有两周时,可每周发送一次通知。当在两周之内到期时,通知频率可增加到每天一次。当在几天之内到期时,多个通知可每天发送等等。
在一些情况下,无法部署新证书可致使某些功能变得不可用。例如,可能需要安全套接字层(SSL)证书以实现为客户网站建立安全连接。如果该证书在没有新证书就位的情况下到期,则该站点的用户将无法建立安全连接,这可能会导致用户无法通过站点下订单或执行其他这类任务。在这种情况下,可能优选的是,继续行进并在当前证书到期时间前后部署新证书,以便尝试最小化功能的问题。在至少一些情况下,用户可能无法充分利用的新证书将不会差于用户不可利用的到期证书,并且在许多情况下会使用户能够继续使用部分或全部的相应功能。
客户可因此具有各种选项用于代表该客户管理证书。例如,客户可选择自己管理证书,或使证书管理器在指定时间(诸如在当前证书到期之前的一段确定的时间量)处自动部署新证书。客户还可选择更新和保存选项,由此证书管理器可获得新证书,但要等待客户指令部署。如果客户并未另外指令部署,则处于更新和保存选项下的客户也可选择在当前证书到期时、之前或之后自动部署新证书。在各种实施方案的范围内,也可使用各种其他管理选项。确保在当前证书到期之前部署新证书避免尝试执行需要证书的某些任务的最终用户发生某些失败。这为忘记部署新证书或由于某种原因在证书到期之前无法指令部署的客户提供了虚拟安全网。
在一些实施方案中,证书管理器可负责代表客户初始获得有待使用的证书。证书管理器可生成私钥和公钥对,并可向适当的证书颁发机构发送请求以发布对应的证书。在一些实施方案中,资源提供商环境也可包括或提供能够为任务提供证书的证书颁发机构,所述任务是这种证书所适用的。证书管理器可然后控制私钥以及何时更新证书或发布新证书。证书管理器还将负责以下任务:诸如调度部署和在适当的时间处将证书部署到适当的位置。证书管理器还可维护资源与证书之间的一系列关联,使得证书管理器可在对应的证书已被更新和/或准备好进行部署时通知资源(即,由环境操作的***或服务)。在至少一些实施方案中,资源可以采取动作,诸如请求新证书并在资源上部署证书。如所提及的,可存在用于部署证书的各种规则或策略,并且在至少一些实施方案中,资源在确定部署证书时必须遵守适用的规则或策略。
证书管理器还可维护关于以下内容的信息:可如何针对不同资源以不同的方式处理证书和/或可如何针对相同资源处理不同证书。例如,客户证书可能与多个服务相关联。客户可能允许证书自动更新并部署用于某些服务,但指令证书应更新并保存用于其他服务。客户还可手动指令部署所有更新后的证书,或者可提供个别证书的指令。客户还可为不同的证书和/或不同的资源提供不同的部署调度和策略等其他这类选项。客户还可为同一证书指定不同级别的控制选项,诸如使用证书的特定资源、依赖于该资源和证书的服务以及管理这些部件的证书的证书管理器等。客户也可为各种类型的资源或策略提供指令,所述指令指示是否发送通知、发送多少通知或多长时间发送一次通知等。客户还可潜在地指示更新后的证书在部署之前是否应由资源或证书管理器保存。
在一些实施方案中,当在客户端装置上为该用户执行的应用确定站点或服务的证书发生了不期望的变化时,客户可能想要防止用户认为已发生针对该站点或服务的“中间人”或类似攻击。诸如Web浏览器的应用可利用诸如信任第一实例的技术,由此浏览器应用将证书的第一实例当作期望的证书并高速缓存该证书的信息。如果浏览器应用在后续时间处检测到与高速缓存证书相比的证书的不期望的变化,则应用至少可在继续执行与证书相关联的任务之前通知用户所述变化。为了防止这种关键业务功能事件,例如客户可决定“固定”具体的证书。固定证书是指对证书进行标记,从而使得除非客户明确指出,否则不会对证书的密钥进行任何更改。在一些实施方案中,固定至少是指证书不应被自动重定密钥的事实。证书管理器可能能够在以下情况下通知用户:例如,固定证书即将到期,但是被限制以其他方式采取相对于证书更新的动作。在存在证书链(诸如从资源直到证书颁发机构)的情况下,沿着链的任何适当证书都可被固定,这也可影响沿着链的其他证书。
图3示出用于代表客户更新可根据各种实施方案来利用的证书的示例性过程300。应理解,除非另外特别说明,否则在各种实施方案的范围内,可以存在按类似或替代性次序执行或者并行地执行的附加步骤、更少步骤或替代性步骤。在这个实例中,为客户获得证书302。这可包括:证书管理器从客户或证书颁发机构接收到证书、或证书管理器生成公钥和私钥对以供证书颁发机构用于生成证书等其他这类选项。然后可将证书部署304到适当的资源或位置,诸如可包括包含在资源提供商环境内或至少部分地由资源提供商环境操作的特定资源、***、服务等。诸如证书管理器的部件可存储关于证书的使用期或到期的信息,并且在某一时刻可确定306证书将在第一确定时间段内到期。这可以是可由客户或提供商设定的任何适当的时间,例如像证书被设定为到期或变得无效之前的两个月、一个月或两周。在这个实例中,并且对于这个证书,证书管理器可被配置和授权来代表客户从证书颁发机构自动获得308新证书。除非证书管理器被授权自动部署证书,否则证书管理器可通知310相关联的客户:新证书已准备好进行部署。通知也可包括其他信息,例如可使证书管理器部署新证书的与证书相关联的一系列资源。在这个实例中,证书管理器保存312新证书,直到接收到部署指令,但是在其他实施方案中,证书可由可能部署证书的资源保存。然后可代表客户接收314请求或指令来部署新证书。这可以是将证书部署到单个资源、一组相关联的资源或相关联的资源的子集等其他这类选项的指令。请求或指令还可指示:是立即部署证书还是可指定特定的部署时间(即,到期之前的一小时)等其他这类选项。证书管理器然后可将证书部署316(致使证书被部署)到对应的资源。证书管理器为证书和客户存储的信息可酌情进行更新。
图4示出用于通知客户所更新和保存的、可根据各种实施方案来利用的证书的示例性过程400。在这个实例中,如图3的过程中所提及的,通知402客户:新证书已准备好进行部署。在发送通知之后,证书管理器可监测或以其他方式确定是否接收到相对于证书的响应。如果达到404相对于证书到期的下一个时间阈值或值,则可向客户发送406另一个通知。可根据由客户、提供商或如本文其他地方所论述的另一个这类实体确定的时间调度发送这个第二通知。在至少一些实施方案中,调度可包括在客户先前未响应于通知而提供指令时自动部署用于具体资源的证书的时间。如果例如第一通知在到期前两个月发送,则第二通知可在到期前一个月发送。如果接收到指令408,则可将证书部署410到对应的资源。如果不是,则可确定证书是否即将到期412,或者是否存在附加通知时段。如果存在附加通知时段,则过程可以继续,并且可根据调度或确定的时间发送附加通知,其中通知的频率可以随着直到证书到期之前的时间减少而增加。如果没有接收到任何指令并且证书到达其到期时间或将要到达其到期时间,则这个实例中的证书管理器可将新证书自动部署410到适当的资源。虽然在一些实施方案中可简单地允许证书到期,但在这个实例中,证书管理器可确保在当前证书到期或即将到期时部署新证书,以便确保客户始终可在相关联的资源上获得有效证书。
图5示出用于防止证书在该证书被用户固定时被重定密钥的示例性过程500,所述证书可根据各种实施方案来利用。在这个实例中,使用本文所论述或建议的任何方法获得502证书。可代表客户将证书部署504到适当的资源。可确定506证书将在确定时间段内到期。可另外确定508客户是否已指示固定具体证书,从而使得证书不应被重定密钥。如果不是,则可代表客户执行512更新和保存。如果证书被固定,则可通知510用户,但是在没有来自用户的明确指令的情况下将不会执行证书的重定密钥。
此外,可鉴于以下条款对本公开的实施方案进行描述:
1.一种计算机实现的方法,其包括:
资源提供商环境的证书管理服务接收将证书部署到所述资源提供商环境的资源的请求,所述证书是代表所述资源提供商环境的客户来进行部署的;
致使所述证书被部署到所述资源,所述证书的信息由所述证书管理服务进行存储;
使用所述证书的所述信息确定所述证书处于距所述证书的有效时段结束的第一确定时间段内;
代表所述客户从证书颁发机构获得新证书,所述新证书由所述证书管理服务进行存储;
向所述客户提供指示有待部署到所述资源的所述新证书的可用性的通知;
使用所述证书的所述信息确定所述证书处于距所述有效时段结束的第二确定时间段内并且未代表所述客户接收到部署的指令;以及
致使所述新证书通过所述证书管理服务自动部署到所述资源。
2.如条款1所述的计算机实现的方法,其还包括:
如果未代表所述客户接收到部署的指令,则在所述第一确定时间段与所述第二确定时间段之间以增加的频率向所述客户提供附加的通知。
3.如条款1所述的计算机实现的方法,其还包括:
通过所述证书管理服务并代表所述客户生成公钥和私钥对;以及
代表所述客户使用所述公钥和私钥对从证书颁发机构获得所述证书。
4.如条款1所述的计算机实现的方法,其还包括:
使用所述新证书的所述信息确定所述新证书处于距所述新证书的有效时段结束的第一确定时间段内;
代表所述客户从证书颁发机构获得第三证书,所述第三证书由所述证书颁发机构进行存储;
向所述客户提供指示有待部署到所述资源的所述第三证书的可用性的通知;
代表所述客户接收部署所述第三证书的指令;以及
致使所述第三证书被部署到所述资源。
5.一种计算机实现的方法,其包括:
确定代表用户部署到多租户环境中的资源的第一证书处于距到期的第一阈值时间量内;
代表所述用户获得新证书;
通知所述用户:所述新证书可用于部署到所述资源;以及
如果尚未代表所述用户以其他方式接收到部署的指令,则致使所述新证书在距到期的第二阈值时间量内部署到所述资源。
6.如条款5所述的计算机实现的方法,其还包括:
在距到期的所述第一阈值时间量与所述第二阈值时间量之间确定尚未接收到所述部署的指令;以及
向所述用户发送关于所述新证书的至少一个附加通知。
7.如条款6所述的计算机实现的方法,其还包括:
在距到期的所述第一阈值时间量与所述第二阈值时间量之间以增加的频率发送所述至少一个附加通知。
8.如条款7所述的计算机实现的方法,其还包括:
从所述用户接收用于发送所述至少一个附加通知的调度,所述调度进一步指定所述第一阈值时间量和所述第二阈值时间量。
9.如条款7所述的计算机实现的方法,其还包括:
从所述用户接收将所述新证书部署到所述资源的指令,所述指令指定部署所述新证书的时间。
10.如条款5所述的计算机实现的方法,其还包括:
从所述用户接收有待用于通知所述用户的至少一个通知类型的指示,所述指示进一步能够为不同的通知指定不同的通知类型。
11.如条款5所述的计算机实现的方法,其还包括:
确定代表所述用户将所述第一证书部署到至少一个附加资源;
通知所述用户:所述新证书可用于部署到所述至少一个附加资源;以及
使所述用户能够提供用于将所述新证书部署到所述资源和所述至少一个附加资源的单独指令。
12.如条款5所述的计算机实现的方法,其还包括:
确定代表所述用户部署的第二证书被指定为固定证书;
确定所述第二证书处于距到期的所述第一阈值时间量内;以及
通知所述用户:所述第二证书处于距到期的所述第一阈值时间量内,而不对所述第二证书进行重定秘钥。
13.如条款5所述的计算机实现的方法,其中所述资源是负载均衡器、服务器、计算装置、Web服务或内容递送网络中的一者。
14.如条款5所述的计算机实现的方法,其中所述证书是传输层安全(TLS)证书或安全套接字层(SSL)证书中的一者。
15.如条款5所述的计算机实现的方法,其还包括:
代表所述用户生成公钥和私钥对;以及
代表所述用户使用所述公钥和私钥对从证书颁发机构获得所述证书。
16.一种***,其包括:
至少一个处理器;以及
包括指令的存储器,所述指令在由所述至少一个处理器执行时致使所述***:
确定代表用户部署到多租户环境中的资源的第一证书处于距到期的第一阈值时间量内;
代表所述用户获得新证书;
通知所述用户:所述新证书可用于部署到所述资源;以及
如果尚未代表所述用户以其他方式接收到部署的指令,则致使所述新证书在距到期的第二阈值时间量内部署到所述资源。
17.如条款16所述的***,其中所述指令在执行时进一步致使所述***:
为所述用户分析一个或多个策略以确定所述第一阈值时间量中的至少一个或者为所述资源自动部署所述新证书。
18.如条款16所述的***,其中所述指令在执行时进一步致使所述***:
在距到期的所述第一阈值时间量与所述第二阈值时间量之间确定尚未接收到所述部署的指令;以及
向所述用户发送关于所述新证书的至少一个附加通知,在距到期的所述第一阈值时间量与所述第二阈值时间量之间以增加的频率发送所述至少一个附加通知。
19.如条款16所述的***,其中所述指令在执行时进一步致使所述***:
确定代表所述用户将所述第一证书部署到至少一个附加资源;
通知所述用户:所述新证书可用于部署到所述至少一个附加资源;以及
使所述用户能够提供用于将所述新证书部署到所述资源和所述至少一个附加资源的单独指令。
20.如条款16所述的***,其中所述指令在执行时进一步致使所述***:
确定代表所述用户部署的第二证书被指定为固定证书;
确定所述第二证书处于距到期的所述第一阈值时间量内;以及
通知所述用户:所述第二证书处于距到期的所述第一阈值时间量内,而不对所述第二证书进行重定秘钥。
图6示出可用于实现各种实施方案的各方面的示例性计算装置600的一组基本部件。在这个实例中,装置包括用于执行可存储在存储器装置或元件604中的指令的至少一个处理器602。如本领域普通技术人将明白的是,装置可包括许多类型的存储器、数据存储或计算机可读介质,诸如用于由至少一个处理器602执行的程序指令的第一数据存储,相同或单独的存储可用于图像或者数据,可移除存储器可用于与其他装置共享信息,并且任何数量的通信方法可用于与其他装置进行共享。装置可包括至少一种类型的显示元件606,诸如触摸屏、电子墨水(e墨水)、有机发光二极管(OLED)或液晶显示器(LCD),但是如服务器的装置可通过其他手段(诸如通过灯和数据传输***)来传送信息。装置典型地将包括能够通过至少一个网络进行通信的一个或多个联网部件608,诸如端口、网络接口卡或无线收发器。装置可包括至少一个输入装置610,所述至少一个输入装置能够从用户接收常规输入。这种常规输入可包括例如按钮、触摸板、触摸屏、方向盘、操纵杆、键盘、鼠标、轨迹球、小键盘或用户可用来向装置输入命令的任何其他这类装置或元件。在一些实施方案中,这些I/O装置甚至同样可以通过无线红外或蓝牙或其他链接来连接。然而,在一些实施方案中,这种装置可能根本不包括任何按钮,且可能仅通过视觉命令和音频命令的组合加以控制,使得用户可在不必与装置接触的情况下控制装置。
如所论述,可以根据所描述的实施方案在各种环境中实现不同的方法。如将了解的,尽管出于解释目的在本文所呈现的若干实例中使用基于Web的环境,但是可酌情使用不同环境来实现各种实施方案。***包括电子客户端装置,所述电子客户端装置可包括可操作来在适当的网络上发送和接收请求、消息或信息并且将信息传送回装置用户的任何适当的装置。这类客户端装置的实例包括个人计算机、手机、手持式消息传递装置、膝上计算机、机顶盒、个人数据助理、电子书阅读器等等。网络可包括任何适当的网络,所述适当的网络包括内联网、互联网、蜂窝网、局域网或任何其他这类网络或其组合。用于这种***的部件可至少部分地取决于选定的网络和/或环境的类型。用于通过这种网络进行通信的协议和部件是众所周知的,因而本文将不再详细论述。通过网络的通信可以通过有线连接或无线连接和其组合来实现。在这个实例中,网络包括互联网,因为环境包括用于接收请求并且响应于所述请求而提供内容的Web服务器,但是对于其他网络来说,可使用提供类似目的的替代性装置,如本领域普通技术人员将明白的。
说明性环境包括至少一个应用服务器和数据存储区。应理解,可存在可链接起来或以其他方式来配置的若干应用服务器、层或其他元件、过程或部件,它们可交互以执行诸如从适当的数据存储区获得数据的任务。如本文所使用的,术语“数据存储区”是指能够存储、访问和检索数据的任何装置或装置组合,所述装置或装置组合可包括任何标准、分布式或集群式环境中的任何组合和任何数目的数据服务器、数据库、数据存储装置和数据存储介质。应用服务器可包括任何适当的硬件和软件,所述硬件和软件视执行客户端装置的一个或多个应用的方面的需要与数据存储区集成并处理应用的大多数数据访问和业务逻辑。应用服务器提供与数据存储区协作的访问控制服务,并且能够生成有待于传送到用户的诸如文本、图形、音频和/或视频的内容,在这个实例中,所述内容可以HTML、XML或另一种适当的结构化语言的形式由Web服务器向用户提供。所有请求和响应的处理以及客户端装置与应用服务器之间的内容递送可由Web服务器来处理。应理解,Web服务器和应用服务器不是必要的,并且仅仅是示例性部件,因为本文所论述的结构化代码可在如本文其他地方所论述的任何适当的装置或主机上执行。
数据存储区可包括用于存储与具体方面相关的数据的若干单独的数据表、数据库或其他数据存储机构和介质。例如,所示出的数据存储区包括用于存储内容(例如,生成数据)和用户信息的机构,其可用于为生产侧提供内容。数据存储区还被示出为包括用于存储日志或会话数据的机构。应理解,可能存在可能需要存储在数据存储区中的许多其他方面,诸如页面图像信息和访问权信息,所述方面可酌情存储在上文列出的机构中的任何机构中或存储在数据存储区中的附加机构中。数据存储区可通过与其相关联的逻辑来操作,以便从应用服务器接收指令,并且响应于所述指令获得数据、更新数据或以其他方式处理数据。在一个实例中,用户可以提交针对某种类型的项目的搜索请求。在这种情况下,数据存储区可访问用户信息以验证用户的身份,并且可访问目录详细信息以获得关于所述类型的项目的信息。接着可将信息诸如以网页上的结果列表的形式返回给用户,用户能够通过用户装置上的浏览器来查看所述结果列表。可在专用浏览器页面或窗口中查看感兴趣的具体项目的信息。
每个服务器典型地将包括提供用于所述服务器的一般管理和操作的可执行程序指令的操作***,并且典型地将包括存储指令的计算机可读介质,所述指令在由服务器的处理器执行时允许服务器执行其预期的功能。操作***的合适的实现方式和服务器的一般功能是众所周知的或可商购获得的,并且易于由本领域普通技术人员实现,尤其是根据本文中的公开内容来实现。
在一个实施方案中,环境是利用通过通信链路、使用一个或多个计算机网络或直接连接来互连的若干计算机***和部件的分布式计算环境。然而,本领域普通技术人员应了解,这种***可在具有(比所示的部件)更少或更多数量的部件的***中同样顺利地操作。因此,本文中对***的描绘本质上应视为说明性的,并且不限制本公开的范围。
可在广泛多种操作环境中进一步实现各种实施方案,所述操作环境在一些情况下可包括可用于操作多种应用中的任何一种的一种或多种用户计算机或计算装置。用户或客户端装置可包括多种通用个人计算机中的任何一种,诸如运行标准操作***的台式计算机或膝上型计算机,以及运行移动软件并且能够支持多种联网协议和消息传输协议的蜂窝装置、无线装置和手持式装置。这种***还可包括多个工作站,所述工作站运行多种可商购获得的操作***以及用于诸如开发和数据库管理目的的其他已知应用中的任一者。这些装置还可包括其他电子装置,诸如假终端、瘦客户端、游戏***和能够通过网络通信的其他装置。
大多数实施方案利用本领域技术人员所熟悉的至少一个网络,所述网络使用多种可商购获得的协议中的任何协议来支持通信,所述协议诸如TCP/IP、FTP、UPnP、NFS和CIFS。网络可以是例如局域网、广域网、虚拟专用网、互联网、内联网、外联网、公共交换电话网、红外网络、无线网络以及上述网络的任何组合。
在利用Web服务器的实施方案中,Web服务器可以运行各种服务器或中间层级应用中的任何一者,包括HTTP服务器、FTP服务器、CGI服务器、数据服务器、Java服务器和业务应用服务器。服务器还可能能够响应来自用户装置的请求而执行程序或脚本,诸如通过执行可实现为以任何编程语言(诸如C、C#或C++)或任何脚本语言(诸如Perl、Python或TCL)以及其组合编写的一个或多个脚本或程序的一个或多个Web应用。所述服务器还可包括数据库服务器,包括但不限于可从 和商购获得的那些数据库服务器以及开源服务器(诸如MySQL、Postgres、SQLite、MongoDB),以及能够存储、检索和访问结构化或非结构化数据的任何其他服务器。数据库服务器可包括基于表的服务器、基于文件的服务器、非结构化服务器、关系式服务器、非关系式服务器或这些和/或其他数据库服务器的组合。
环境可包括如上文论述的多种数据存储区以及其他存储器和存储介质。这些可驻留在多种位置中,诸如在一个或多个计算机本地(和/或驻留在一个或多个计算机中)的存储介质上,或者远离网络上的计算机中的任何一个或所有计算机的存储介质上。在一组具体实施方案中,信息可驻留在本领域技术人员熟悉的存储区域网(SAN)中。类似地,用于执行属于计算机、服务器或其他网络装置的功能的任何必要的文件可酌情本地和/或远程存储。在***包括计算机化装置的情况下,每个这种装置可包括可通过总线电耦合的硬件元件,所述元件包括例如至少一个中央处理单元(“CPU”)、至少一个输入装置(例如,鼠标、键盘、控制器、触敏显示元件或小键盘)和至少一个输出装置(例如,显示装置、打印机或扬声器)。这种***还可包括一个或多个存储装置,诸如磁盘驱动器、磁带驱动器、光存储装置和固态存储装置(诸如随机存取存储器(RAM)或只读存储器(ROM)),以及可移动介质装置、存储卡、闪存卡等。
这类装置还可包括计算机可读存储介质读取器、通信装置(例如,调制解调器、网卡(无线或有线)、红外线通信装置)和工作存储器,如上文所论述的。计算机可读存储介质读取器可与计算机可读存储介质连接或被配置来接收计算机可读存储介质,所述计算机可读存储介质表示远程、本地、固定和/或可移动存储装置以及用于暂时和/或更永久地包含、存储、传输和检索计算机可读信息的存储介质。***和各种装置还典型地将包括位于至少一个工作存储器装置内的多个软件应用、模块、服务或其他元件,包括操作***和应用程序,诸如客户端应用或Web浏览器。应了解,另选实施方案可具有以上描述的实施方案的众多变型。例如,也可使用定制硬件,和/或具体元件可在硬件、软件(包括可移植的软件,诸如小程序)或两者中实现。此外,可采用与诸如网络输入/输出装置的其他计算装置的连接。
用于包括编码或部分编码的存储介质和其他非暂时性计算机可读介质可包括本领域已知或已使用的任何适当介质,诸如但不限于用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中所实现的易失性和非易失性、可移动和不可移动介质,包括RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用光盘(DVD)或其他光学存储装置、磁盒、磁带、磁盘存储装置或其他磁性存储装置,或可用于存储所期望的信息且可供***装置访问的任何其他介质。基于本文所提供的公开内容和教义,本领域普通技术人员将了解实现各种实施方案的其他方式和/或方法。
因此,应以说明性意义而不是限制性意义来理解本说明书和附图。然而,将明显的是:在不脱离如在权利要求书中阐述的本发明的更宽广精神和范围的情况下,可对其做出各种修改和改变。
Claims (15)
1.一种计算机实现的方法,其包括:
在资源提供商环境的证书管理服务处接收将证书部署到所述资源提供商环境的资源的请求,所述证书是代表所述资源提供商环境的客户来进行部署的,所述客户与一策略相关联,所述策略指定被授权代表所述客户执行的动作;
致使所述证书被部署到所述资源,所述证书的信息由所述证书管理服务进行存储;
使用所述证书的所述信息确定所述证书处于距所述证书的有效时段结束的第一确定时间段内;
代表所述客户从证书颁发机构获得新证书,所述新证书由所述证书管理服务进行存储;
向所述客户提供指示有待部署到所述资源的所述新证书的可用性的通知;
使用所述证书的所述信息确定所述证书处于距所述有效时段结束的第二确定时间段内并且未代表所述客户接收到部署的指令;以及
至少部分地基于所述策略致使所述新证书通过所述证书管理服务自动部署到所述资源。
2.如权利要求1所述的计算机实现的方法,其还包括:
如果未代表所述客户接收到部署的指令,则在所述第一确定时间段与所述第二确定时间段之间以增加的频率向所述客户提供附加的通知。
3.如权利要求1所述的计算机实现的方法,其还包括:
通过所述证书管理服务并代表所述客户生成公钥和私钥对;以及
代表所述客户使用所述公钥和私钥对从证书颁发机构获得所述证书。
4.如权利要求1所述的计算机实现的方法,其还包括:
使用所述新证书的所述信息确定所述新证书处于距所述新证书的有效时段结束的第一确定时间段内;
代表所述客户从证书颁发机构获得第三证书,所述第三证书由所述证书颁发机构进行存储;
向所述客户提供指示有待部署到所述资源的所述第三证书的可用性的通知;
代表所述客户接收部署所述第三证书的指令;以及
致使所述第三证书被部署到所述资源。
5.一种计算机实现的方法,其包括:
确定代表用户部署到多租户环境中的资源的第一证书处于距到期的第一阈值时间量内,所述用户与一策略相关联,所述策略指定被授权代表所述用户执行的操作;
代表所述用户从所述多租户环境的证书颁发机构获得新证书;
向所述用户提供所述新证书可用于部署到所述资源的通知;以及
如果尚未代表所述用户以其他方式接收到部署的指令,则至少部分地基于所述策略致使所述新证书在距到期的第二阈值时间量内部署到所述资源。
6.如权利要求5所述的计算机实现的方法,其还包括:
在距到期的所述第一阈值时间量与所述第二阈值时间量之间确定尚未接收到所述部署的指令;以及
向所述用户发送关于所述新证书的至少一个附加通知。
7.如权利要求6所述的计算机实现的方法,其还包括:
从所述用户接收用于发送所述至少一个附加通知的调度,所述调度进一步指定所述第一阈值时间量和所述第二阈值时间量。
8.如权利要求6所述的计算机实现的方法,其还包括:
从所述用户接收将所述新证书部署到所述资源的指令,所述指令指定部署所述新证书的时间。
9.如权利要求5所述的计算机实现的方法,其还包括:
确定代表所述用户将所述第一证书部署到至少一个附加资源;
通知所述用户:所述新证书可用于部署到所述至少一个附加资源;以及
使所述用户能够提供用于将所述新证书部署到所述资源和所述至少一个附加资源的单独指令。
10.如权利要求5所述的计算机实现的方法,其还包括:
确定代表所述用户部署的第二证书被指定为固定证书;
确定所述第二证书处于距到期的所述第一阈值时间量内;以及
通知所述用户:所述第二证书处于距到期的所述第一阈值时间量内,而不对所述第二证书进行重定秘钥。
11.如权利要求5所述的计算机实现的方法,其还包括:
代表所述用户生成公钥和私钥对;以及
代表所述用户使用所述公钥和私钥对从证书颁发机构获得所述证书。
12.一种***,其包括:
至少一个处理器;以及
包括指令的存储器,所述指令在由所述至少一个处理器执行时致使所述***:
确定代表用户部署到多租户环境中的资源的第一证书处于距到期的第一阈值时间量内,所述用户与一策略相关联,所述策略指定被授权代表所述用户执行的操作;
代表所述用户从所述多租户环境的证书颁发机构获得新证书;
向所述用户提供所述新证书可用于部署到所述资源的通知;以及
如果尚未代表所述用户以其他方式接收到部署的指令,则至少部分地基于所述策略致使所述新证书在距到期的第二阈值时间量内部署到所述资源。
13.如权利要求12所述的***,其中所述指令在执行时进一步致使所述***:
为所述用户分析一个或多个策略以确定所述第一阈值时间量中的至少一个或者为所述资源自动部署所述新证书。
14.如权利要求12所述的***,其中所述指令在执行时进一步致使所述***:
在距到期的所述第一阈值时间量与所述第二阈值时间量之间确定尚未接收到所述部署的指令;以及
向所述用户发送关于所述新证书的至少一个附加通知,在距到期的所述第一阈值时间量与所述第二阈值时间量之间以增加的频率发送所述至少一个附加通知。
15.如权利要求12所述的***,其中所述指令在执行时进一步致使所述***:
确定代表所述用户将所述第一证书部署到至少一个附加资源;
通知所述用户:所述新证书可用于部署到所述至少一个附加资源;以及
使所述用户能够提供用于将所述新证书部署到所述资源和所述至少一个附加资源的单独指令。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/968,280 US10666637B2 (en) | 2015-12-14 | 2015-12-14 | Certificate renewal and deployment |
US14/968,280 | 2015-12-14 | ||
PCT/US2016/066286 WO2017106140A1 (en) | 2015-12-14 | 2016-12-13 | Certificate renewal and deployment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108370374A CN108370374A (zh) | 2018-08-03 |
CN108370374B true CN108370374B (zh) | 2021-03-05 |
Family
ID=57708819
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680071884.7A Active CN108370374B (zh) | 2015-12-14 | 2016-12-13 | 证书更新和部署 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10666637B2 (zh) |
EP (1) | EP3391613B1 (zh) |
JP (1) | JP6563134B2 (zh) |
CN (1) | CN108370374B (zh) |
WO (1) | WO2017106140A1 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10701062B2 (en) * | 2016-02-23 | 2020-06-30 | Continental Teves Ag & Co. Ohg | Method for improving information security for vehicle-to-X communication, and communication apparatus |
US10516653B2 (en) | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
US10771261B1 (en) * | 2016-09-29 | 2020-09-08 | EMC IP Holding Company LLC | Extensible unified multi-service certificate and certificate revocation list management |
US11366744B2 (en) * | 2017-04-07 | 2022-06-21 | Microsoft Technology Licensing, Llc | Partitioning and orchestrating infrastructure software deployments for safety and agility across diverse configurations and hardware types |
US10587582B2 (en) * | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
CN107733882B (zh) * | 2017-09-30 | 2021-03-19 | 亚数信息科技(上海)有限公司 | Ssl证书自动化部署方法及设备 |
US10965457B2 (en) * | 2018-03-14 | 2021-03-30 | Microsoft Technology Licensing, Llc | Autonomous cross-scope secrets management |
US11762980B2 (en) | 2018-03-14 | 2023-09-19 | Microsoft Technology Licensing, Llc | Autonomous secrets renewal and distribution |
JP6945498B2 (ja) * | 2018-05-28 | 2021-10-06 | エイチ・シー・ネットワークス株式会社 | ネットワーク管理装置およびネットワークシステム |
WO2019236804A1 (en) * | 2018-06-08 | 2019-12-12 | Jpmorgan Chase Bank, N.A. | System and method for multi-certificate pinning |
CN110825400B (zh) * | 2018-08-14 | 2024-04-23 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和*** |
CN109818946B (zh) * | 2019-01-11 | 2022-07-26 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和*** |
JP7225958B2 (ja) * | 2019-03-14 | 2023-02-21 | オムロン株式会社 | 制御装置および制御システム |
US11025732B2 (en) | 2019-06-17 | 2021-06-01 | Vmware, Inc. | Method and apparatus to perform user authentication during cloud provider sessions |
US20210051028A1 (en) * | 2019-08-12 | 2021-02-18 | Servicenow, Inc. | Certificate discovery and workflow automation |
US11290283B2 (en) | 2019-10-10 | 2022-03-29 | Red Hat, Inc. | Automated replacement of self-signed server certificates |
US11283629B2 (en) | 2019-10-10 | 2022-03-22 | Red Hat, Inc. | Automated replacement of renewable server certificates |
US11310273B2 (en) | 2020-01-23 | 2022-04-19 | Rockwell Collins, Inc. | Secure network aggregation protocol |
US11438179B2 (en) | 2020-05-18 | 2022-09-06 | Kyndryl, Inc. | Certificate renewal process outside application server environment |
CN113132115B (zh) * | 2021-05-21 | 2023-03-14 | 中国建设银行股份有限公司 | 一种证书切换方法、装置和*** |
CN113765899A (zh) * | 2021-08-20 | 2021-12-07 | 济南浪潮数据技术有限公司 | 一种节点代理的证书更换方法、***及装置 |
CN115021938A (zh) * | 2022-06-27 | 2022-09-06 | 中国银行股份有限公司 | 安全数字证书应用方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | ***通信集团公司 | 一种数字证书更新的方法、装置及*** |
CN102118374A (zh) * | 2009-12-30 | 2011-07-06 | 鸿富锦精密工业(深圳)有限公司 | 数字证书自动更新***及方法 |
CN102129634A (zh) * | 2010-01-14 | 2011-07-20 | 鸿富锦精密工业(深圳)有限公司 | 数字证书管理***及方法 |
CN102792632A (zh) * | 2010-03-08 | 2012-11-21 | 微软公司 | 自动化证书管理 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001197054A (ja) * | 2000-01-06 | 2001-07-19 | Mitsubishi Electric Systemware Corp | 認証書管理装置及び認証書管理方法及びコンピュータ読み取り可能な記録媒体 |
GB2376312B (en) * | 2001-06-04 | 2004-12-29 | Hewlett Packard Co | Digital certificate expiry notification |
JP4109470B2 (ja) * | 2002-03-13 | 2008-07-02 | 富士通エフ・アイ・ピー株式会社 | ディジタル証明書管理方法、ディジタル証明書配布サーバ、ディジタル証明書送信クライアント、ディジタル証明書管理プログラム及び記録媒体 |
US20050076201A1 (en) | 2003-08-15 | 2005-04-07 | Imcentric, Inc. | System for discovering SSL-enabled network devices and certificates |
JP4717378B2 (ja) | 2004-06-08 | 2011-07-06 | キヤノン株式会社 | 情報処理装置 |
US8615653B2 (en) * | 2004-09-01 | 2013-12-24 | Go Daddy Operating Company, LLC | Methods and systems for dynamic updates of digital certificates via subscription |
US7640428B2 (en) * | 2004-09-02 | 2009-12-29 | Research In Motion Limited | System and method for searching and retrieving certificates |
US8291224B2 (en) * | 2005-03-30 | 2012-10-16 | Wells Fargo Bank, N.A. | Distributed cryptographic management for computer systems |
US8006289B2 (en) * | 2005-12-16 | 2011-08-23 | International Business Machines Corporation | Method and system for extending authentication methods |
JP4449899B2 (ja) * | 2005-12-28 | 2010-04-14 | ブラザー工業株式会社 | 管理装置及びプログラム |
US8108670B2 (en) * | 2006-07-13 | 2012-01-31 | Intel Corporation | Client apparatus and method with key manager |
US8195934B1 (en) * | 2007-05-03 | 2012-06-05 | United Services Automobile Association (Usaa) | Systems and methods for managing certificates |
US8321662B2 (en) * | 2008-05-08 | 2012-11-27 | International Business Machines Corporation | Certificate renewal using secure handshake |
US8949597B1 (en) * | 2009-12-22 | 2015-02-03 | Sprint Communications Company L.P. | Managing certificates on a mobile device |
US8555067B2 (en) * | 2010-10-28 | 2013-10-08 | Apple Inc. | Methods and apparatus for delivering electronic identification components over a wireless network |
US9961073B2 (en) | 2013-09-30 | 2018-05-01 | Digicert, Inc. | Dynamic certificate generation on a certificate authority cloud |
JP6226689B2 (ja) * | 2013-10-16 | 2017-11-08 | キヤノン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
US10432610B2 (en) * | 2015-06-30 | 2019-10-01 | Vmware, Inc. | Automated monitoring and managing of certificates |
US9819497B2 (en) * | 2015-06-30 | 2017-11-14 | Vmware, Inc. | Automated provisioning of certificates |
US9871662B2 (en) * | 2015-09-25 | 2018-01-16 | Netflix, Inc. | Systems and methods for digital certificate and encryption key management |
-
2015
- 2015-12-14 US US14/968,280 patent/US10666637B2/en active Active
-
2016
- 2016-12-13 EP EP16820485.7A patent/EP3391613B1/en active Active
- 2016-12-13 CN CN201680071884.7A patent/CN108370374B/zh active Active
- 2016-12-13 WO PCT/US2016/066286 patent/WO2017106140A1/en active Application Filing
- 2016-12-13 JP JP2018527725A patent/JP6563134B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | ***通信集团公司 | 一种数字证书更新的方法、装置及*** |
CN102118374A (zh) * | 2009-12-30 | 2011-07-06 | 鸿富锦精密工业(深圳)有限公司 | 数字证书自动更新***及方法 |
CN102129634A (zh) * | 2010-01-14 | 2011-07-20 | 鸿富锦精密工业(深圳)有限公司 | 数字证书管理***及方法 |
CN102792632A (zh) * | 2010-03-08 | 2012-11-21 | 微软公司 | 自动化证书管理 |
Also Published As
Publication number | Publication date |
---|---|
US10666637B2 (en) | 2020-05-26 |
WO2017106140A1 (en) | 2017-06-22 |
EP3391613B1 (en) | 2020-11-18 |
EP3391613A1 (en) | 2018-10-24 |
JP6563134B2 (ja) | 2019-08-21 |
US20170171191A1 (en) | 2017-06-15 |
JP2019503115A (ja) | 2019-01-31 |
CN108370374A (zh) | 2018-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108370374B (zh) | 证书更新和部署 | |
US10951618B2 (en) | Refresh token for credential renewal | |
US11916911B2 (en) | Gateway enrollment for Internet of Things device management | |
US10673866B2 (en) | Cross-account role management | |
CN112154639B (zh) | 在没有用户足迹的情况下的多因素认证 | |
US10491586B2 (en) | Incorrect password management | |
US11019068B2 (en) | Quorum-based access management | |
US9424429B1 (en) | Account management services for load balancers | |
US9225704B1 (en) | Unified management of third-party accounts | |
US10587697B2 (en) | Application-specific session authentication | |
US10511584B1 (en) | Multi-tenant secure bastion | |
US11290443B2 (en) | Multi-layer authentication | |
US9225744B1 (en) | Constrained credentialed impersonation | |
US10733238B2 (en) | Script manager for distributed systems | |
US10110578B1 (en) | Source-inclusive credential verification | |
US10560435B2 (en) | Enforcing restrictions on third-party accounts | |
US9888041B2 (en) | Virtual communication endpoint services | |
US20180152434A1 (en) | Virtual content repository | |
US10904011B2 (en) | Configuration updates for access-restricted hosts | |
US10257263B1 (en) | Secure remote execution of infrastructure management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |