專利名稱:服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及根據(jù)從Web服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求���,發(fā)行服務(wù)器認(rèn)證書的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)。
背景技術(shù):
為了安全地進(jìn)行Web服務(wù)器與Web瀏覽器之間的互聯(lián)網(wǎng)通信�����,利用了公鑰基礎(chǔ)結(jié) 構(gòu)(PKI =Public Key Infrastructure)的 SSL (SecureSocket Layer:安全套接層)正被應(yīng) 用�����。在引入了 SSL的通信系統(tǒng)中�����,由于使用由可信賴的第三方機(jī)構(gòu)�、即認(rèn)證機(jī)構(gòu)(認(rèn)證局 CA)發(fā)行的服務(wù)器認(rèn)證書(SSL認(rèn)證書)來(lái)進(jìn)行加密處理����,因此可防止電子詐騙���、篡改��、竊聽(tīng) 等�,進(jìn)一步確保安全的互聯(lián)網(wǎng)通信����。在認(rèn)證機(jī)構(gòu)發(fā)行服務(wù)器認(rèn)證書時(shí),確認(rèn)服務(wù)器認(rèn)證書的發(fā)行請(qǐng)求人的同一性(本 人確認(rèn))非常重要�,作為確認(rèn)同一性的方法,利用了域名認(rèn)證的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)(例 如�,參照專利文獻(xiàn)1)正被應(yīng)用。在該已知的本人確認(rèn)方法中���,在有服務(wù)器認(rèn)證書的發(fā)行請(qǐng) 求時(shí)�,注冊(cè)服務(wù)器訪問(wèn)域名注冊(cè)服務(wù)器的數(shù)據(jù)庫(kù)(WhoiS信息)��,并與對(duì)于該Web服務(wù)器具有 批準(zhǔn)發(fā)行服務(wù)器認(rèn)證書的權(quán)限的批準(zhǔn)者取得聯(lián)系����,用電話或e-mail等聯(lián)系方式來(lái)驗(yàn)證是 否承認(rèn)認(rèn)證書的發(fā)行請(qǐng)求����,并且只有在取得批準(zhǔn)者的批準(zhǔn)時(shí)才發(fā)行認(rèn)證書�。專利文獻(xiàn)1 JP特開(kāi)2005-506737號(hào)公報(bào)另外,在以往的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)中�����,在進(jìn)行認(rèn)證書的發(fā)行申請(qǐng)時(shí)�,申請(qǐng)人生 成PKI密鑰對(duì)��、生成認(rèn)證請(qǐng)求文件(CSR)并向注冊(cè)服務(wù)器申請(qǐng)發(fā)行認(rèn)證書����。在以往的利用域名認(rèn)證的本人確認(rèn)方法中,是基于Whois信息來(lái)檢索對(duì)發(fā) 行認(rèn)證書具有批準(zhǔn)權(quán)限的人��,并基于檢索到的批準(zhǔn)者的批準(zhǔn)進(jìn)行本人確認(rèn)��。然而����,在 Approver-Email.方式的認(rèn)證方法中,只是取得具有批準(zhǔn)權(quán)限的批準(zhǔn)者的承認(rèn)而已����,卻不確 認(rèn)作為認(rèn)證書的發(fā)行對(duì)象的Web服務(wù)器的實(shí)有性����,因此在安全上存在問(wèn)題���。另外�,在通過(guò) E-mail進(jìn)行的本人確認(rèn)時(shí)���,存在E-mail被盜用的情況等��,因此存在在安全方面發(fā)生問(wèn)題的 危險(xiǎn)性����。此外���,注冊(cè)機(jī)構(gòu)必須訪問(wèn)域名注冊(cè)服務(wù)器的數(shù)據(jù)庫(kù)來(lái)檢索批準(zhǔn)者�����,因此存在注冊(cè)機(jī) 構(gòu)中的本人確認(rèn)作業(yè)繁雜的缺點(diǎn)�。而且�����,必須通過(guò)電話等聯(lián)系方式取得批準(zhǔn)確認(rèn),因此在將 認(rèn)證書發(fā)行自動(dòng)化方面存在較大的障礙�����。此外�����,在以往的認(rèn)證書發(fā)行系統(tǒng)中���,用戶必須生成密鑰對(duì)并生成CSR,因此也被指 出存在用戶的手續(xù)負(fù)擔(dān)大的缺點(diǎn)����。
發(fā)明內(nèi)容
本發(fā)明的目的在于,實(shí)現(xiàn)一種能夠確認(rèn)作為認(rèn)證書發(fā)行的對(duì)象的Web服務(wù)器的實(shí) 有性��、并進(jìn)一步提高安全性的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)�。本發(fā)明的另一目的在于,實(shí)現(xiàn)大幅度地減輕申請(qǐng)人的手續(xù)負(fù)擔(dān)的服務(wù)器認(rèn)證書發(fā) 行系統(tǒng)�����。此外,本發(fā)明的另一目的在于����,實(shí)現(xiàn)能夠全自動(dòng)地進(jìn)行服務(wù)器認(rèn)證書發(fā)行的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)。
本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)��,具備注冊(cè)服務(wù)器��,其設(shè)置于注冊(cè)機(jī)構(gòu)��,并經(jīng)由 網(wǎng)絡(luò)接受從Web服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求����,進(jìn)行規(guī)定的審查,并向發(fā)行機(jī)構(gòu) 發(fā)送簽名請(qǐng)求文件(CSR)����;認(rèn)證書發(fā)行服務(wù)器,其設(shè)置在發(fā)行機(jī)構(gòu)��,接受從注冊(cè)服務(wù)器發(fā)送 來(lái)的CSR�,進(jìn)行數(shù)字簽名而生成服務(wù)器認(rèn)證書,并將生成了的服務(wù)器認(rèn)證書發(fā)送到上述注冊(cè) 服務(wù)器����,該服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的特征在于�����,上述Web服務(wù)器具有生成用于輸入申請(qǐng)信 息的輸入畫面的單元���;生成成對(duì)的公鑰和私鑰的密鑰對(duì)的單元;生成包含所生成的公鑰的 CSR的單元�;生成表示認(rèn)證書的發(fā)行請(qǐng)求意愿的隨機(jī)驗(yàn)證頁(yè)并將驗(yàn)證信息存儲(chǔ)于該隨機(jī)驗(yàn) 證頁(yè)的驗(yàn)證頁(yè)生成單元;生成包括申請(qǐng)信息的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元��,其中申請(qǐng)信 息至少包括該Web服務(wù)器的地址信息和生成的CSR ��;將生成的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求發(fā)送 到設(shè)置在注冊(cè)機(jī)構(gòu)的注冊(cè)服務(wù)器的單元�,上述注冊(cè)服務(wù)器具有接收從上述Web服務(wù)器發(fā) 送來(lái)的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元;對(duì)接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求賦予申請(qǐng)ID的 單元���;對(duì)被賦予申請(qǐng)ID的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求進(jìn)行存儲(chǔ)的存儲(chǔ)單元;根據(jù)接收到的服務(wù) 器認(rèn)證書發(fā)行請(qǐng)求中包含的地址信息�����,訪問(wèn)Web服務(wù)器的隨機(jī)驗(yàn)證頁(yè)���,并讀取隨機(jī)驗(yàn)證頁(yè) 上顯示的驗(yàn)證信息的單元�;對(duì)讀取到的驗(yàn)證信息和服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中包含的申請(qǐng)信 息進(jìn)行核對(duì)來(lái)驗(yàn)證是否制成有隨機(jī)驗(yàn)證頁(yè)的驗(yàn)證單元;將接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求 中所含有的CSR發(fā)送到認(rèn)證書發(fā)行服務(wù)器的單元�,只有在作為驗(yàn)證單元的驗(yàn)證結(jié)果是制成 了隨機(jī)驗(yàn)證頁(yè)時(shí),上述注冊(cè)服務(wù)器將該服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的CSR發(fā)送到發(fā)行 機(jī)構(gòu)��。在本發(fā)明中��,設(shè)置在注冊(cè)機(jī)構(gòu)的注冊(cè)服務(wù)器��,訪問(wèn)根據(jù)認(rèn)證書發(fā)行申請(qǐng)中包含的 地址信息確定的隨機(jī)驗(yàn)證頁(yè)����,并驗(yàn)證該Web服務(wù)器是否制成了隨機(jī)驗(yàn)證頁(yè),因此在確認(rèn)作 為認(rèn)證書發(fā)行對(duì)象的Web服務(wù)器的實(shí)有性的同時(shí)����,也確認(rèn)了服務(wù)器認(rèn)證書的發(fā)行請(qǐng)求的意 愿、即本人的Web服務(wù)器的管理權(quán)限�����。其結(jié)果����,能夠進(jìn)行比以往的域名認(rèn)證安全性更高的本 人確認(rèn)。此外,在驗(yàn)證隨機(jī)驗(yàn)證頁(yè)時(shí)�,讀出隨機(jī)驗(yàn)證頁(yè)上所顯示的驗(yàn)證信息,并將讀出的驗(yàn) 證信息與服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的申請(qǐng)信息進(jìn)行核對(duì)�����,因此也能夠確認(rèn)隨機(jī)驗(yàn)證 頁(yè)的真實(shí)性��,從而進(jìn)行安全性更高的本人確認(rèn)�。隨機(jī)驗(yàn)證頁(yè)可以將CSR數(shù)據(jù)的一部分,例如將最后的10個(gè)字作為隨機(jī)驗(yàn)證頁(yè)的名 稱��,隨機(jī)驗(yàn)證頁(yè)的內(nèi)容例如可以為CSR數(shù)據(jù)�。Web服務(wù)器,可以在基于CSR數(shù)據(jù)生成隨機(jī)驗(yàn) 證頁(yè)之后���,在認(rèn)證書發(fā)行請(qǐng)求中包含隨機(jī)驗(yàn)證頁(yè)的URL信息�����,并將服務(wù)器認(rèn)證書發(fā)送請(qǐng)求 發(fā)送到注冊(cè)服務(wù)器����。另外����,在Web服務(wù)器側(cè),有可能為不顯示目錄信息的設(shè)定�,或者在隨機(jī)驗(yàn)證頁(yè)的目 錄中放進(jìn)空的idex. html文件,因此有可能從外部看不到索引信息����。由注冊(cè)服務(wù)器進(jìn)行的頁(yè)面驗(yàn)證,是從獲取認(rèn)證書發(fā)行請(qǐng)求中所包含的隨機(jī)驗(yàn)證頁(yè) 的URL信息(名稱)開(kāi)始的����。生成包括FQDN(服務(wù)器的通用名稱)的URL,并在http協(xié)定 下讀入隨機(jī)頁(yè)�。(具體地為1191572345281_0的形式)。通過(guò)讀入驗(yàn)證頁(yè)來(lái)確認(rèn)頁(yè)面的實(shí) 在性�����,通過(guò)對(duì)隨機(jī)驗(yàn)證頁(yè)的顯示內(nèi)容和服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的申請(qǐng)信息進(jìn) 行核對(duì)����,來(lái)確認(rèn)隨機(jī)頁(yè)面的真實(shí)性。本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的優(yōu)選實(shí)施例��,其特征在于��,使用服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中包含的CSR作為驗(yàn)證信息,上述Web服務(wù)器的驗(yàn)證頁(yè)生成單元�����,將所生成的CSR 顯示于隨機(jī)驗(yàn)證頁(yè)�����,上述注冊(cè)服務(wù)器的驗(yàn)證單元將從隨機(jī)驗(yàn)證頁(yè)讀取到的驗(yàn)證信息與服務(wù) 器認(rèn)證書發(fā)行申請(qǐng)中包含的CSR進(jìn)行核對(duì)�,來(lái)驗(yàn)證是否制成了隨機(jī)驗(yàn)證頁(yè)。CSR是包含在服 務(wù)器認(rèn)證書發(fā)行請(qǐng)求中被發(fā)送到注冊(cè)服務(wù)器的固有的加密數(shù)據(jù)��,被高度加密����。因此,被第三 者盜用解讀的危險(xiǎn)性極小�。因此,根據(jù)確保安全性的觀點(diǎn)�,將CSR作為驗(yàn)證信息來(lái)使用是極 其有益的。本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的另一優(yōu)選實(shí)施例��,其特征在于���,Web服務(wù)器的驗(yàn)證頁(yè)生成單元�,使用預(yù)先確定的加密運(yùn)算式對(duì)服務(wù)器認(rèn)證發(fā)行請(qǐng)求中包含的一部分的申請(qǐng) 信息進(jìn)行加密運(yùn)算����,并將所得到的加密數(shù)據(jù)作為驗(yàn)證信息顯示于隨機(jī)驗(yàn)證頁(yè),上述注冊(cè)服 務(wù)器的驗(yàn)證單元��,使用上述預(yù)先確定的加密運(yùn)算式對(duì)接收到的服務(wù)器認(rèn)證發(fā)行請(qǐng)求中包含 的一部分信息執(zhí)行加密運(yùn)算���,并將所生成的加密數(shù)據(jù)與從隨機(jī)驗(yàn)證頁(yè)中讀出的驗(yàn)證信息進(jìn) 行核對(duì)�,來(lái)驗(yàn)證是否制成了隨機(jī)驗(yàn)證頁(yè)��。例如��,作為申請(qǐng)信息的一部分信息能夠使用該Web 服務(wù)器的FQDN和日期���,并用生成的公鑰進(jìn)行加密生成加密數(shù)據(jù)��。Web服務(wù)器的FQDN和日期 以及公鑰�����,包含在服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中�����,并從Web服務(wù)器被發(fā)送到注冊(cè)服務(wù)器���,因此注 冊(cè)服務(wù)器和Web服務(wù)器具有共同的信息和密鑰����。因此�����,與使用公鑰將CSR作為驗(yàn)證信息使 用的情況同樣��,能夠確保較高的安全環(huán)境�。此外,作為另一個(gè)驗(yàn)證頁(yè)生成方法����,即使利用事先確定的規(guī)則或者加密運(yùn)算式生 成隨機(jī)驗(yàn)證頁(yè)來(lái)代替從CSR生成隨機(jī)驗(yàn)證頁(yè)也能夠有同樣的效果。例如��,將結(jié)合FQDN(服 務(wù)器的通用名稱)���、認(rèn)證書申請(qǐng)ID����、用戶ID、申請(qǐng)日期等根據(jù)認(rèn)證書發(fā)明請(qǐng)求而唯一確定下 來(lái)的信息�,并用加密運(yùn)算(例如散列函數(shù)SHA-1)來(lái)進(jìn)行散列運(yùn)算而成的數(shù)據(jù)生成為隨機(jī)頁(yè) 的內(nèi)容。在生成隨機(jī)驗(yàn)證頁(yè)之后��,Web服務(wù)器將隨機(jī)驗(yàn)證頁(yè)的URL信息(名稱)包含在認(rèn) 證書發(fā)行請(qǐng)求中發(fā)送�,通知注冊(cè)服務(wù)器�。注冊(cè)服務(wù)器獲取認(rèn)證書發(fā)行請(qǐng)求中所包含的隨機(jī)驗(yàn)證頁(yè)的URL信息(名稱),生成 包括有FQDN(服務(wù)器的通用名稱)的URL���,并在http協(xié)定下讀入隨機(jī)頁(yè)面�。通過(guò)讀入隨機(jī) 驗(yàn)證頁(yè)來(lái)確認(rèn)頁(yè)面的實(shí)有性�����。通過(guò)驗(yàn)證隨機(jī)驗(yàn)證頁(yè)的內(nèi)容和用事先確定的規(guī)則或加密運(yùn)算 式算出的運(yùn)算結(jié)果�����,例如用散列函數(shù)SHA-I將FQDN(服務(wù)器的通用名稱)��、認(rèn)證書申請(qǐng)ID�、 用戶ID、申請(qǐng)日期散列運(yùn)算而得的運(yùn)算結(jié)果的數(shù)據(jù)完全一致�,來(lái)確認(rèn)隨機(jī)頁(yè)面的真實(shí)性�。
本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的優(yōu)選實(shí)施例�,其特征在于,Web服務(wù)器具有向注 冊(cè)服務(wù)器詢問(wèn)認(rèn)證書的發(fā)行狀況的狀態(tài)查詢單元�,將上述申請(qǐng)ID作為密鑰周期性地對(duì)注 冊(cè)服務(wù)器執(zhí)行狀態(tài)查詢。Web服務(wù)器和注冊(cè)服務(wù)器間用請(qǐng)求和響應(yīng)成對(duì)的SOAP接口結(jié)合�, 通過(guò)SSL通信的密碼通信和強(qiáng)固的認(rèn)證確保安全性。隨機(jī)驗(yàn)證頁(yè)的驗(yàn)證結(jié)果作為認(rèn)證書發(fā) 行請(qǐng)求的響應(yīng)而即時(shí)地返回到Web服務(wù)器���。FQDN的輸入錯(cuò)誤等���,在申請(qǐng)的時(shí)刻被通知。本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的優(yōu)選實(shí)施例���,其特征在于�����,Web服務(wù)器具有主要 進(jìn)行Web以及郵件的設(shè)定和管理的控制面板�����,并在上述控制面板中安裝有生成用于輸入 上述服務(wù)器認(rèn)證書的發(fā)行申請(qǐng)信息的輸入畫面的單元�����;生成公鑰和私鑰的密鑰對(duì)的單元�����; 生成CSR的單元��;驗(yàn)證頁(yè)生成單元���;生成服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元;以及狀態(tài)查詢單兀����。在本發(fā)明中,能夠在搭載于Web服務(wù)器主要執(zhí)行Web和郵件的設(shè)定和管理的控制 面板的控制下���,進(jìn)行服務(wù)器認(rèn)證書的發(fā)行管理���。特別是,在本發(fā)明中使用的控制面板���,由于安裝有生成用于輸入服務(wù)器認(rèn)證書的發(fā)行申請(qǐng)信息的輸入畫面的單元�����;生成公鑰和私鑰 的密鑰對(duì)的單元�;生成CSR的單元;驗(yàn)證頁(yè)生成單元�����;生成服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元���; 以及狀態(tài)查詢單元�,因此通過(guò)利用這些單元就能夠?qū)姆?wù)器認(rèn)證書的發(fā)行申請(qǐng)到發(fā)行的 服務(wù)器認(rèn)證書的安裝為止的處理作為一系列的處理而自動(dòng)地執(zhí)行�����。本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的另一優(yōu)選實(shí)施例�����,其特征在于��,注冊(cè)服務(wù)器還 具有接收從認(rèn)證書發(fā)行服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書的單元���;將接收到的服務(wù)器認(rèn)證書 保存到下載區(qū)域的單元�����;對(duì)從上述Web服務(wù)器發(fā)送來(lái)的認(rèn)證書狀態(tài)查詢進(jìn)行響應(yīng)的單元��; 將保存在下載區(qū)域的服務(wù)器認(rèn)證書下載到Web服務(wù)器的下載單元����,該注冊(cè)服務(wù)器,在將與 接收到來(lái)自Web服務(wù)器的認(rèn)證書狀態(tài)查詢時(shí)對(duì)應(yīng)的服務(wù)器認(rèn)證書被保存在下載區(qū)域時(shí)���,作 為對(duì)該狀態(tài)查詢的響應(yīng)��,將保存在下載區(qū)域的服務(wù)器認(rèn)證書下載到Web服務(wù)器��,且將從服 務(wù)區(qū)認(rèn)證書的發(fā)行申請(qǐng)到將所發(fā)行的服務(wù)器認(rèn)證書下載到Web服務(wù)器為止的處理作為一 系列的處理而自動(dòng)地執(zhí)行。在本發(fā)明中����,從Web服務(wù)器發(fā)送到注冊(cè)服務(wù)器的服務(wù)器認(rèn)證書的發(fā)行請(qǐng)求,除CSR 和地址信息以外��,還可以包括該Web服務(wù)器的FQDN�����、管理該Web服務(wù)器的管理者的電子郵 件地址、認(rèn)證書有效開(kāi)始日以及有效期限����。根據(jù)本發(fā)明,注冊(cè)服務(wù)器��,在接受了服務(wù)器認(rèn)證書發(fā)行請(qǐng)求時(shí)����,訪問(wèn)由FQDN確定 的Web服務(wù)器并讀取隨機(jī)驗(yàn)證頁(yè)面所顯示的驗(yàn)證信息,通過(guò)將讀取的驗(yàn)證信息與服務(wù)器認(rèn) 證書發(fā)行請(qǐng)求中包含的申請(qǐng)信息進(jìn)行核對(duì)����,來(lái)判斷驗(yàn)證頁(yè)面的真實(shí)性,因此能夠確認(rèn)作為 服務(wù)器認(rèn)證書的發(fā)行對(duì)象的Web服務(wù)器的實(shí)有性�����,并且也能夠確認(rèn)服務(wù)器管理者的服務(wù)器 認(rèn)證書發(fā)行請(qǐng)求的意愿����。其結(jié)果,比起以往的域名認(rèn)證方法能夠確保更高的安全性�。此外,如果在搭載于Web服務(wù)器的控制面板中安裝服務(wù)器認(rèn)證書發(fā)行程序��,則能 夠?qū)姆?wù)器認(rèn)證書的發(fā)行申請(qǐng)到所發(fā)行的服務(wù)器認(rèn)證書的安裝為止的處理作為自動(dòng)化 的一系列的處理來(lái)執(zhí)行。
圖1是表示本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的整體構(gòu)成的線圖����。圖2是表示本發(fā)明的Web服務(wù)器的一例的線圖。圖3是表示安裝于Web服務(wù)器中的SSL認(rèn)證書發(fā)行管理程序的一例的線圖�����。圖4是表示注冊(cè)服務(wù)器的計(jì)算機(jī)系統(tǒng)的一例的線圖����。圖5是表示W(wǎng)eb服務(wù)器、注冊(cè)服務(wù)器以及認(rèn)證書發(fā)行服務(wù)器間的一系列操作和處理的圖���。圖6是表示安裝于Web服務(wù)器中的SSL認(rèn)證書發(fā)行管理程序的變形例的線圖��。圖7是表示注冊(cè)服務(wù)器的計(jì)算機(jī)系統(tǒng)的變形例的線圖��。附圖標(biāo)記的說(shuō)明1...網(wǎng)絡(luò);10...注冊(cè)服務(wù)器�����;11...認(rèn)證書發(fā)行服務(wù)器����;20�、40...通信單元����;
21. · ·控制面板;22. · ·郵件功能部�����;23. · · Web功能部����;24. · ·數(shù)據(jù)庫(kù);25. · · SSL認(rèn)證書發(fā) 行管理程序�����;30...輸入畫面信息生成單元�����;31...密鑰對(duì)生成單元��;32. . . CSR生成單元����; 33...隨機(jī)驗(yàn)證頁(yè)生成單元���;34...服務(wù)器認(rèn)證書發(fā)行請(qǐng)求生成單元;35...狀態(tài)查詢單元�����; 36...下載請(qǐng)求單元�����;37...服務(wù)器認(rèn)證書保存單元�����;38...安裝單元��;41...服務(wù)器認(rèn)證書發(fā)行請(qǐng)求接收單元�����;42...審查單元��;43. . . CSR獲取單元����;44...驗(yàn)證單元;45. . . URL生 成單元�;46...驗(yàn)證信息讀取單元;47...認(rèn)證書發(fā)行請(qǐng)求響應(yīng)單元����;48. . . CSR發(fā)送單元; 49...服務(wù)器認(rèn)證書接收單元���;50...下載區(qū)域���;51...認(rèn)證書狀態(tài)查詢接收單元;52...狀 態(tài)響應(yīng)發(fā)送單元���;53...認(rèn)證書下載請(qǐng)求接收單元�����;54...服務(wù)器認(rèn)證書下載單元��。
具體實(shí)施例方式圖1是表示本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的整體構(gòu)成的線圖���。在網(wǎng)絡(luò)1上連接有處于主機(jī)服務(wù)商管轄下的η臺(tái)Web服務(wù)器-1 Web服務(wù)器_η����,另外��,還連接有主機(jī)服務(wù) 商以外的服務(wù)商所屬的其他的Web服務(wù)器-m���。處于主機(jī)服務(wù)商管轄下的Web服務(wù)器_1 n��,經(jīng)由網(wǎng)絡(luò)1和各終端-1 n���,由對(duì)各Web服務(wù)器具有管理權(quán)限的服務(wù)器管理者分別進(jìn)行 管理。另外�����,Web服務(wù)器-m�����,經(jīng)由網(wǎng)絡(luò)1和另一終端-m����,被該服務(wù)器的管理者管理。此外, 在網(wǎng)絡(luò)1上連接有受理服務(wù)器認(rèn)證書的發(fā)行請(qǐng)求的設(shè)置在注冊(cè)機(jī)構(gòu)中的注冊(cè)服務(wù)器10��。另 夕卜�,注冊(cè)服務(wù)器10經(jīng)由網(wǎng)絡(luò)與設(shè)置在發(fā)行機(jī)構(gòu)(IA)的認(rèn)證書發(fā)行服務(wù)器11連接�����,認(rèn)證書 發(fā)行服務(wù)器11��,接受從注冊(cè)服務(wù)器10發(fā)送來(lái)的CSR��,進(jìn)行簽名并發(fā)行服務(wù)器認(rèn)證書���。在本例中�����,在控制面板中安裝從服務(wù)器認(rèn)證書的發(fā)行請(qǐng)求到所發(fā)行的認(rèn)證書的下 載為止的功能�����。在各Web服務(wù)器中主要安裝進(jìn)行Web和郵件的設(shè)定以及管理的控制面板���, 在本例中,是在控制面板的控制下進(jìn)行SSL認(rèn)證書的發(fā)行和管理。例如�����,在Web服務(wù)器1的 管理者希望發(fā)行服務(wù)器認(rèn)證書時(shí)��,該管理者經(jīng)由終端-1和網(wǎng)絡(luò)訪問(wèn)自己管理的Web服務(wù) 器-1���,并顯示控制面板的菜單�����。而且��,從所顯示的菜單中�,點(diǎn)擊菜單“SSL認(rèn)證書的發(fā)行”�。 當(dāng)點(diǎn)擊菜單“SSL認(rèn)證書的發(fā)行”時(shí),控制面板顯示用于輸入服務(wù)器認(rèn)證書的申請(qǐng)信息的輸 入畫面�����。作為服務(wù)器認(rèn)證書發(fā)行的申請(qǐng)信息�����,至少包括以下信息。a.該 Web 服務(wù)器的通用域名(FQDN =Fully Qualified DomainName 正式域名)或 者IP地址b.申請(qǐng)管理者的姓名和電子郵件地址c.認(rèn)證書的有效開(kāi)始日以及有限期限當(dāng)必要的申請(qǐng)信息的輸入完成后���,控制面板判斷為完成了服務(wù)器認(rèn)證書的發(fā)行請(qǐng) 求���,并根據(jù)該認(rèn)證書發(fā)行請(qǐng)求生成簽名請(qǐng)求文件(CSR)。包括CSR文件的服務(wù)器認(rèn)證書發(fā)行 請(qǐng)求���,經(jīng)由網(wǎng)絡(luò)被送到注冊(cè)服務(wù)器10,并在注冊(cè)服務(wù)器中進(jìn)行包括本人確認(rèn)的審查�。該認(rèn)證 書發(fā)行請(qǐng)求滿足了規(guī)定的條件時(shí),注冊(cè)服務(wù)器10將CSR文件發(fā)送到設(shè)置在發(fā)行機(jī)構(gòu)的認(rèn)證 書發(fā)行服務(wù)器11��,認(rèn)證書發(fā)行服務(wù)器進(jìn)行數(shù)字簽名并制成服務(wù)器認(rèn)證書���。所制成的服務(wù)器 認(rèn)證書被發(fā)送到注冊(cè)服務(wù)器10����,并保存到下載區(qū)域����,注冊(cè)服務(wù)器通知Web服務(wù)器1完成了下 載。Web服務(wù)器1中的控制面板���,接受下載通知后��,對(duì)注冊(cè)服務(wù)器進(jìn)行下載請(qǐng)求��,并安裝已下 載的服務(wù)器認(rèn)證書���。即����,在本例中���,在由Web服務(wù)器的管理者輸入認(rèn)證書發(fā)行請(qǐng)求后����,在安 裝于Web服務(wù)器的控制面板的控制下���,將從認(rèn)證書的發(fā)行申請(qǐng)到服務(wù)器認(rèn)證書的安裝為止 的處理作為一系列的處理來(lái)執(zhí)行�����,因此�����,能夠使服務(wù)器認(rèn)證書的發(fā)行處理自動(dòng)化����,大幅度地 減輕用戶的負(fù)擔(dān)。圖2是表示本發(fā)明的Web服務(wù)器的一個(gè)例子的構(gòu)成的線圖����。Web服務(wù)器具有通信 單元20,并經(jīng)由通信單元20執(zhí)行與用戶終端的通信���。此外,Web服務(wù)器具有控制面板21�, 并由控制面板21執(zhí)行郵件和Web的設(shè)定和管理。因此���,郵件功能部22和Web功能部23的設(shè)定和管理由控制面板21進(jìn)行���。在Web功能部23中設(shè)有SSL認(rèn)證書的控制功能部,除認(rèn)證書的安裝���、以認(rèn)證書為基礎(chǔ)的http協(xié)定的控制以外���,一般還具備PKI密鑰對(duì)和CSR的生 成功能����。在Web服務(wù)器中安裝有應(yīng)用程序1 3并還安裝有數(shù)據(jù)庫(kù)24���?���?刂泼姘?1設(shè)有SSL認(rèn)證書發(fā)行管理程序25���,在該SSL認(rèn)證書發(fā)行管理程序25的控制下�,執(zhí)行從服務(wù)器認(rèn)證書的發(fā)行申請(qǐng)到已發(fā)行的服務(wù)器認(rèn)證書的安裝為止的一系列 的處理����。圖3是表示控制面板21的SSL認(rèn)證書發(fā)行管理程序25的功能的線圖。在本例中��, 作為本人確認(rèn)用的驗(yàn)證信息使用CSR����。當(dāng)該Web服務(wù)器的管理者為了發(fā)行認(rèn)證書而進(jìn)行了 訪問(wèn)時(shí),輸入畫面生成單元30啟動(dòng)��,且在顯示器上顯示用于輸入發(fā)行認(rèn)證書所需的申請(qǐng)信 息的輸入畫面��。當(dāng)服務(wù)器的管理者完成了申請(qǐng)信息的輸入后,使密鑰對(duì)生成單元31動(dòng)作生 成公鑰和私鑰的密鑰對(duì)�����。然后���,使CSR生成單元32動(dòng)作�����,生成包含公鑰的CSR文件����。此外�, 使驗(yàn)證頁(yè)生成單元33動(dòng)作�����,生成作為認(rèn)證書發(fā)行的申請(qǐng)意愿表示的隨機(jī)驗(yàn)證頁(yè)��,并將所生 成的CSR顯示為驗(yàn)證信息���。包含在申請(qǐng)信息中的該Web服務(wù)器的通用名稱(FQDN:FulIyQualified Domain Name)�、申請(qǐng)管理者的姓名和電子郵件地址、以及認(rèn)證書的有效開(kāi)始日和有效期限等信息��, 與已生成的CSR—起被發(fā)送到服務(wù)器認(rèn)證書發(fā)行請(qǐng)求生成單元34�。而且,在服務(wù)器認(rèn)證書 發(fā)行請(qǐng)求生成單元34中�,生成服務(wù)器認(rèn)證書發(fā)行要求,并經(jīng)由通信單元20和網(wǎng)絡(luò)1發(fā)送到 設(shè)置于注冊(cè)機(jī)構(gòu)的注冊(cè)服務(wù)器10����。另外,在本例中�����,隨機(jī)驗(yàn)證頁(yè)的URL在注冊(cè)服務(wù)器側(cè)生 成�。該SSL發(fā)行管理程序,具有向注冊(cè)服務(wù)器詢問(wèn)認(rèn)證書的發(fā)行狀況的狀態(tài)查詢單元 35��,在發(fā)送了服務(wù)器認(rèn)證書發(fā)行請(qǐng)求后����,在對(duì)注冊(cè)服務(wù)器10周期性地查詢認(rèn)證書的發(fā)行狀 況的同時(shí)接收來(lái)自注冊(cè)服務(wù)器的響應(yīng)。而且具有服務(wù)器認(rèn)證書下載請(qǐng)求單元36�����,在從注冊(cè) 服務(wù)器接到下載通知時(shí),對(duì)注冊(cè)服務(wù)器進(jìn)行下載的請(qǐng)求�����。所下載的服務(wù)器認(rèn)證書被保存于 服務(wù)器認(rèn)證書保存單元37���,并由安裝單元38進(jìn)行安裝����。圖4是表示設(shè)置在注冊(cè)機(jī)構(gòu)的注冊(cè)服務(wù)器10的計(jì)算機(jī)系統(tǒng)的一個(gè)例子的線圖�。 從Web服務(wù)器發(fā)送來(lái)的認(rèn)證書發(fā)送請(qǐng)求,經(jīng)由通信單元40而被認(rèn)證書發(fā)行請(qǐng)求接收單元41 接收��。所接收到的認(rèn)證書發(fā)行請(qǐng)求����,由審查單元42審查,進(jìn)行是否包含規(guī)定的申請(qǐng)事項(xiàng)的 格式確認(rèn)�。在未包括規(guī)定的申請(qǐng)事項(xiàng)時(shí)�����,作為錯(cuò)誤進(jìn)行處理��。使CSR獲取單元43動(dòng)作,從 接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中獲取CSR�,并發(fā)送到驗(yàn)證單元44。另外�����,從申請(qǐng)信息中獲 取FQDN并發(fā)送到URL生成單元45�����。URL生成單元45生成Web服務(wù)器中形成的隨機(jī)驗(yàn)證頁(yè) 的URL信息�����。該URL信息的生成����,使用申請(qǐng)信息中所包含的FQDN和頁(yè)面名稱(頁(yè)面地址信 息)來(lái)生成隨機(jī)驗(yàn)證頁(yè)的URL。所生成的URL被發(fā)送到驗(yàn)證信息讀取單元46�����。驗(yàn)證信息讀 取單元46�,訪問(wèn)由所生成的URL確定的Web服務(wù)器的隨機(jī)驗(yàn)證頁(yè),讀取所顯示的驗(yàn)證信息并 發(fā)送到驗(yàn)證單元44。驗(yàn)證單元44對(duì)從服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中獲取到的CSR和從Web服務(wù)器的隨機(jī) 驗(yàn)證頁(yè)中讀取到的驗(yàn)證信息進(jìn)行核對(duì)��,確認(rèn)是否相互一致��。在不一致時(shí)����,作為錯(cuò)誤進(jìn)行處 理。從認(rèn)證書發(fā)行請(qǐng)求響應(yīng)單元47向Web服務(wù)器進(jìn)行錯(cuò)誤發(fā)送����。另一方面,在所獲取的 CSR和從Web服務(wù)器中讀取到的驗(yàn)證信息一致時(shí)��,將該服務(wù)器認(rèn)證書發(fā)行請(qǐng)求視為有效����,并 經(jīng)由認(rèn)證書發(fā)行請(qǐng)求響應(yīng)單元47對(duì)Web服務(wù)器發(fā)送受理完成通知。此外����,使CSR發(fā)送單元48動(dòng)作,并將CSR發(fā)送到認(rèn)證書發(fā)行服務(wù)器11���。設(shè)置在發(fā)行機(jī)構(gòu)(IA)的認(rèn)證書發(fā)行服務(wù)器11,當(dāng)接收到從注冊(cè)服務(wù)器發(fā)送來(lái)的 CSR后,進(jìn)行數(shù)字簽名生成服務(wù)器認(rèn)證書��,并經(jīng)由網(wǎng)絡(luò)發(fā)送到注冊(cè)服務(wù)器���。注冊(cè)服務(wù)器利用服務(wù)器認(rèn)證書發(fā)送單元49接收從認(rèn)證書發(fā)行服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書�����,并保存到下載區(qū)域50���。注冊(cè)服務(wù)器具有接收從Web服務(wù)器發(fā)送來(lái)的認(rèn)證書的 狀態(tài)查詢的單元51。當(dāng)狀態(tài)查詢接收單元51接收到來(lái)自Web服務(wù)器的狀態(tài)查詢后�����,將申請(qǐng) ID作為密鑰來(lái)確認(rèn)在下載區(qū)域50中是否保存有服務(wù)器認(rèn)證書����。在未保存服務(wù)器認(rèn)證書的 情況下,通過(guò)狀態(tài)響應(yīng)發(fā)送單元52對(duì)Web服務(wù)器進(jìn)行未完成通知�。在保存有服務(wù)器認(rèn)證書 的情況下,通過(guò)狀態(tài)響應(yīng)發(fā)送單元發(fā)送下載通知�����。來(lái)自Web服務(wù)器的下載請(qǐng)求由認(rèn)證書下 載請(qǐng)求接收單元53接收。當(dāng)接收到來(lái)自Web服務(wù)器的下載請(qǐng)求后���,該服務(wù)器認(rèn)證書利用服 務(wù)器認(rèn)證書下載單元54并經(jīng)由網(wǎng)絡(luò)被下載到Web服務(wù)器����。另外����,在接收到來(lái)自Web服務(wù)器的狀態(tài)查詢的時(shí)刻,在服務(wù)器認(rèn)證書被保存在下 載區(qū)域中時(shí)��,作為狀態(tài)響應(yīng)���,也能夠經(jīng)由狀態(tài)響應(yīng)發(fā)送單元52來(lái)下載該服務(wù)器認(rèn)證書��。圖5是表示W(wǎng)eb服務(wù)器�、注冊(cè)服務(wù)器以及認(rèn)證書發(fā)行服務(wù)器間的從服務(wù)器認(rèn)證書 的發(fā)行申請(qǐng)到下載服務(wù)器認(rèn)證書為止的處理順序的線圖�����。Web服務(wù)器的管理者在服務(wù)器 認(rèn)證書的發(fā)行申請(qǐng)時(shí)���,訪問(wèn)自己管理的Web服務(wù)器��,顯示輸入畫面并輸入規(guī)定的申請(qǐng)事項(xiàng)��。 Web服務(wù)器在控制面板的控制下�����,生成服務(wù)器認(rèn)證書發(fā)行請(qǐng)求并且生成密鑰對(duì)從而生成隨 機(jī)驗(yàn)證頁(yè)��。而且���,在隨機(jī)驗(yàn)證頁(yè)中顯示所生成的CSR的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求,經(jīng)由網(wǎng)絡(luò)被 發(fā)送到注冊(cè)服務(wù)器10���。注冊(cè)服務(wù)器���,首先進(jìn)行格式的確認(rèn),在輸入信息中存在錯(cuò)誤時(shí)�,進(jìn)行錯(cuò)誤發(fā)送。然 后��,訪問(wèn)Web服務(wù)器的隨機(jī)驗(yàn)證頁(yè)�,讀取驗(yàn)證信息,并將讀取到的驗(yàn)證信息與CSR進(jìn)行核對(duì) 來(lái)進(jìn)行驗(yàn)證����。驗(yàn)證結(jié)果��,在讀取到的驗(yàn)證信息與CSR不一致時(shí)�����,進(jìn)行錯(cuò)誤發(fā)送�����。在一致時(shí)�����, 將申請(qǐng)ID賦予該服務(wù)器認(rèn)證書發(fā)行請(qǐng)求并向Web服務(wù)器發(fā)送受理完成通知�,并且將CSR發(fā) 送到認(rèn)證書發(fā)行服務(wù)器11�。認(rèn)證書發(fā)行服務(wù)器對(duì)接受了的CSR進(jìn)行數(shù)字簽名生成服務(wù)器認(rèn)證書,并將生成的 服務(wù)器認(rèn)證書發(fā)送到注冊(cè)服務(wù)器��。當(dāng)注冊(cè)服務(wù)器接受服務(wù)器認(rèn)證書后��,將接收到的服務(wù)器 認(rèn)證書保存到下載區(qū)域��。注冊(cè)服務(wù)器接收從Web服務(wù)器周期性地發(fā)送來(lái)的狀態(tài)查詢�,確認(rèn)在下載區(qū)域中是 否保存有服務(wù)器認(rèn)證書�����,在未保存時(shí)���,作為響應(yīng),向Web服務(wù)器發(fā)送未完成通知���。在下載區(qū) 域中保存有服務(wù)器認(rèn)證書時(shí),作為狀態(tài)查詢的響應(yīng)�����,進(jìn)行下載通知���。當(dāng)Web服務(wù)器接收到下 載通知時(shí)�,對(duì)注冊(cè)服務(wù)器發(fā)送下載請(qǐng)求����。注冊(cè)服務(wù)器根據(jù)接收到的下載要求將該服務(wù)器認(rèn) 證書下載到Web服務(wù)器。Web服務(wù)器在控制面板的控制下�,安裝所下載的服務(wù)器認(rèn)證書。另外��,在不希望所 發(fā)行的服務(wù)器認(rèn)證書的下載和安裝的自動(dòng)化時(shí),在接收到來(lái)自注冊(cè)服務(wù)器的下載通知后���, 也可以用其他單元進(jìn)行下載和安裝����。于是�,在本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)中,Web服務(wù)器的管理者只在輸入畫面 中輸入服務(wù)器認(rèn)證書的發(fā)行所需的事項(xiàng)�,就能夠自動(dòng)地執(zhí)行到安裝服務(wù)器認(rèn)證書為止的處 理,從而大幅度地減輕管理者的手續(xù)負(fù)擔(dān)����。圖6和圖7是表示本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的變形例的圖,圖6是表示W(wǎng)eb服務(wù)器的計(jì)算機(jī)系統(tǒng)的線圖���,圖7是表示注冊(cè)服務(wù)器的計(jì)算機(jī)系統(tǒng)的線圖���。另外,對(duì)于與圖 3和圖4中采用的構(gòu)成要素相同的構(gòu)成要素標(biāo)記相同的附圖標(biāo)記進(jìn)行說(shuō)明�����。在本例中,使用 所生成的公鑰對(duì)Web服務(wù)器的FQDN以及日期進(jìn)行加密生成驗(yàn)證信息�����,并且在Web服務(wù)器側(cè) 制成隨機(jī)驗(yàn)證頁(yè)的地址信息��。對(duì)于其他的構(gòu)成�,由于與圖3和圖4所示的實(shí)施例相同,因此 省略說(shuō)明�。當(dāng)有來(lái)自Web服務(wù)器的管理者的用于發(fā)行認(rèn)證書的訪問(wèn)時(shí),輸入畫面生成單元30 啟動(dòng)���,并在顯示器上顯示用于輸入發(fā)行認(rèn)證書所需的申請(qǐng)信息的輸入畫面。當(dāng)服務(wù)器管理 者輸入必須的申請(qǐng)信息后��,F(xiàn)QDN和日期獲取單元60動(dòng)作�,從申請(qǐng)信息中獲取一致確定的 FQDN和日期,并發(fā)送到加密單元61���。將由密鑰對(duì)生成單元31生成的密鑰對(duì)中的公鑰發(fā)送 到加密單元��。加密單元使用所生成的公鑰對(duì)FQDN和日期加密����,并發(fā)送到隨機(jī)驗(yàn)證頁(yè)生成單 元33。隨機(jī)驗(yàn)證頁(yè)生成單元33將被加密的數(shù)據(jù)作為驗(yàn)證信息顯示于隨機(jī)驗(yàn)證頁(yè)�。包含在申請(qǐng)信息中的FQDN被發(fā)送到URL生成單元62,生成隨機(jī)驗(yàn)證頁(yè)的URL信 息���。URL生成單元62使用申請(qǐng)信息中所包含的FQDN和頁(yè)面名稱(頁(yè)面地址信息)���,生成隨 機(jī)驗(yàn)證頁(yè)的URL。所生成的URL被發(fā)送到服務(wù)器認(rèn)證書發(fā)行請(qǐng)求生成單元34�。服務(wù)器認(rèn)證 書發(fā)行請(qǐng)求生成單元34,將包括CSR以及隨機(jī)驗(yàn)證頁(yè)的URL的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求發(fā)送 到注冊(cè)服務(wù)器�����。
參照?qǐng)D7����,在注冊(cè)服務(wù)器中,F(xiàn)QDN和日期獲取單元70從服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中 獲取FQDN和日期����,并將其發(fā)送到加密單元71。另外�,由CSR獲取單元43獲取CSR,并將所 獲取的公鑰發(fā)送到加密單元71���。加密單元71借助公鑰對(duì)FQDN和日期信息進(jìn)行加密�����,并將 加密的數(shù)據(jù)發(fā)送到驗(yàn)證單元44���。包含在服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中的隨機(jī)驗(yàn)證頁(yè)的URL被 URL獲取單元72獲取并被發(fā)送到驗(yàn)證信息讀取單元46�����。驗(yàn)證信息讀取單元46訪問(wèn)由包含 在服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中的URL確定的Web服務(wù)器的驗(yàn)證頁(yè)�,讀取驗(yàn)證信息����,并將讀取到 的驗(yàn)證信息發(fā)送到驗(yàn)證單元44。驗(yàn)證單元44將從Web服務(wù)器的隨機(jī)驗(yàn)證頁(yè)中讀取到的驗(yàn) 證信息與從加密單元發(fā)送來(lái)的加密數(shù)據(jù)進(jìn)行核對(duì)來(lái)進(jìn)行驗(yàn)證����。作為驗(yàn)證結(jié)果���,在加密數(shù)據(jù) 與從Web服務(wù)器讀取到的驗(yàn)證信息一致時(shí)�����,判斷為作為服務(wù)器認(rèn)證書的對(duì)象的Web服務(wù)器 實(shí)際存在�,并繼續(xù)進(jìn)行之后的處理。于是��,作為驗(yàn)證信息��,即使用CSR以外的被加密的信息 也可確保安全性�。在訪問(wèn)互聯(lián)網(wǎng)時(shí),服務(wù)器的通用名稱(FQDN)被轉(zhuǎn)換成IP地址����,電文被路由到作為 目標(biāo)的服務(wù)器。負(fù)責(zé)這些通用名稱和IP地址的轉(zhuǎn)換(映射)的是DNS����。映射信息在管理該 域名的被稱為主DNS的機(jī)器嚴(yán)格管理,并依次被傳輸?shù)皆诨ヂ?lián)網(wǎng)上分散配置的多個(gè)DNS緩 存服務(wù)器����。IP地址的轉(zhuǎn)換從最接近的DNS緩存服務(wù)器開(kāi)始詢問(wèn)。由于作為根源的DNS非常 強(qiáng)固地被管理�,因此有時(shí)緩存服務(wù)器成為黑客攻擊的對(duì)象。在本發(fā)明的服務(wù)器認(rèn)證書的發(fā)行系統(tǒng)中�,在通過(guò)URL進(jìn)行隨機(jī)驗(yàn)證頁(yè)的讀入時(shí), 確認(rèn)能夠取得的Web服務(wù)器的IP地址與以下(1)�����、或者(2)的地址是否一致,即(1)通過(guò)直 接詢問(wèn)管理在WhoisDB中所注冊(cè)的該域名的DNS�、即主DNS和次DNS而取得的IP地址;(2) 直接詢問(wèn)可信賴的第三方機(jī)構(gòu)管理���、運(yùn)營(yíng)的DNS而取得的IP地址�����。由此����,通過(guò)直接詢問(wèn)檢 測(cè)以DNS緩存服務(wù)器為對(duì)象的DNS信息的改寫攻擊的原來(lái)的DNS����,或者通過(guò)詢問(wèn)管理嚴(yán)格的 第三主要的DNS,來(lái)檢測(cè)局部的DNS的感染���。因此�����,使得從通用名稱向IP地址轉(zhuǎn)換和從IP 地址向通用名稱轉(zhuǎn)換為表里一致的確認(rèn)�����,也在提高安全性的方向有效���。
因此,在確認(rèn)隨機(jī)驗(yàn)證頁(yè)的IP地址與發(fā)送了認(rèn)證書發(fā)行申請(qǐng)的Web服務(wù)器的IP 地址的一致性����,并且通過(guò)確認(rèn)例如頁(yè)面驗(yàn)證時(shí)的隨機(jī)驗(yàn)證頁(yè)的IP地址與向管理作為WhoiS 信息注冊(cè)的該域名的DNS以及可信賴的第三方的DNS直接詢問(wèn)的結(jié)果的一致性,能夠顯著 地提高安全性���。即�����,注冊(cè)服務(wù)器具有直接訪問(wèn)管理存儲(chǔ)有域名和IP地址的關(guān)系的數(shù)據(jù)庫(kù) 的主域名服務(wù)器(DNS)����,而在Web服務(wù)器中取得與域名對(duì)應(yīng)的IP地址的單元�;將取得的IP 地址與隨機(jī)驗(yàn)證頁(yè)的IP地址進(jìn)行核對(duì)的單元,在這些IP地址不一致時(shí)��,可以將該服務(wù)器認(rèn) 證書發(fā)行請(qǐng)求作為錯(cuò)誤處理�����。另外,將驗(yàn)證了隨機(jī)驗(yàn)證頁(yè)時(shí)的IP地址/URL名作為記錄履歷保存����,與控制面板側(cè)的記錄履歷一起,對(duì)于不實(shí)行的原因分析是非常有效的�����。本發(fā)明不僅限定于上述實(shí)施例��,可以進(jìn)行各種變更和變形��。在上述的實(shí)施例中�,對(duì) 于在從主機(jī)服務(wù)商處借來(lái)的Web服務(wù)器中進(jìn)行認(rèn)證書發(fā)行請(qǐng)求的例子進(jìn)行了說(shuō)明,然而本 發(fā)明能夠適用于所有的Web服務(wù)器���。在這種情況下�����,在擁有Web服務(wù)器的所有權(quán)的服務(wù)商 進(jìn)行服務(wù)器認(rèn)證書的發(fā)行申請(qǐng)時(shí)����,可以經(jīng)由自己的Web服務(wù)器進(jìn)行認(rèn)證書的發(fā)行申請(qǐng)�����。另外�����,在上述實(shí)施例中��,對(duì)于在控制面板中安裝了輸入畫面信息輸入單元���、密鑰對(duì) 生成單元����、CSR生成單元以及隨機(jī)驗(yàn)證頁(yè)生成單元的實(shí)施例進(jìn)行了說(shuō)明�����,然而也能夠適用于 在Web服務(wù)器中安裝了這些單元��,而在控制面板中未安裝的情況�。此外,在上述實(shí)施例中�����,說(shuō)明了單人管理一臺(tái)Web服務(wù)器的情況,然而對(duì)于多人共 用一臺(tái)Web服務(wù)器的共用型的Web服務(wù)器也能夠適用�����。此外�,在上述實(shí)施例中,在搭載于Web服務(wù)器中的控制面板的控制下���,進(jìn)行從服務(wù) 器認(rèn)證書的發(fā)行申請(qǐng)到認(rèn)證書的安裝為止的處理����。然而���,也可以在Web中直接建立上述的 SSL認(rèn)證書發(fā)行管理程序���,或者可以通過(guò)插件方式作為附加的功能在Web服務(wù)器中建立。
權(quán)利要求
一種服務(wù)器認(rèn)證書發(fā)行系統(tǒng)���,具備注冊(cè)服務(wù)器��,其設(shè)置于注冊(cè)機(jī)構(gòu)��,并經(jīng)由網(wǎng)絡(luò)接受從Web服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求��,進(jìn)行規(guī)定的審查����,并向發(fā)行機(jī)構(gòu)發(fā)送簽名請(qǐng)求文件�����、即CSR����;認(rèn)證書發(fā)行服務(wù)器,其設(shè)置在發(fā)行機(jī)構(gòu)�,接受從注冊(cè)服務(wù)器發(fā)送來(lái)的CSR,進(jìn)行數(shù)字簽名而生成服務(wù)器認(rèn)證書��,并將生成了的服務(wù)器認(rèn)證書發(fā)送到上述注冊(cè)服務(wù)器�����,該服務(wù)器認(rèn)證書發(fā)行系統(tǒng)的特征在于�,上述Web服務(wù)器具有生成用于輸入申請(qǐng)信息的輸入畫面的單元;生成成對(duì)的公鑰和私鑰的密鑰對(duì)的單元;生成包括所生成的公鑰的CSR的單元����;生成表示認(rèn)證書的發(fā)行請(qǐng)求意愿的隨機(jī)驗(yàn)證頁(yè)并將驗(yàn)證信息存儲(chǔ)于該隨機(jī)驗(yàn)證頁(yè)的驗(yàn)證頁(yè)生成單元;生成包括申請(qǐng)信息的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元���,其中申請(qǐng)信息至少包括該Web服務(wù)器的地址信息和生成的CSR�����;將生成的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求發(fā)送到設(shè)置在注冊(cè)機(jī)構(gòu)的注冊(cè)服務(wù)器的單元��,上述注冊(cè)服務(wù)器具有接收從上述Web服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元��;對(duì)接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求賦予申請(qǐng)ID的單元��;對(duì)被賦予申請(qǐng)ID的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求進(jìn)行存儲(chǔ)的存儲(chǔ)單元�����;根據(jù)接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中包含的地址信息�����,訪問(wèn)Web服務(wù)器的隨機(jī)驗(yàn)證頁(yè)���,并讀取顯示在隨機(jī)驗(yàn)證頁(yè)上的驗(yàn)證信息的單元�����;對(duì)讀取到的驗(yàn)證信息和服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的申請(qǐng)信息進(jìn)行核對(duì)來(lái)驗(yàn)證是否制成了隨機(jī)驗(yàn)證頁(yè)的驗(yàn)證單元��;將接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所含有的CSR發(fā)送到認(rèn)證書發(fā)行服務(wù)器的單元�����,只有在作為驗(yàn)證單元的驗(yàn)證結(jié)果是制成了隨機(jī)驗(yàn)證頁(yè)時(shí),上述注冊(cè)服務(wù)器將該服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的CSR發(fā)送到發(fā)行機(jī)構(gòu)���。
2.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)�����,其特征在于���,使用服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的CSR作為上述驗(yàn)證信息,上述Web服務(wù)器的驗(yàn) 證頁(yè)生成單元���,將所生成的CSR顯示于隨機(jī)驗(yàn)證頁(yè)��,上述注冊(cè)服務(wù)器的驗(yàn)證單元將從隨機(jī) 驗(yàn)證頁(yè)讀取到的驗(yàn)證信息與服務(wù)器認(rèn)證書發(fā)行申請(qǐng)中所包含的CSR進(jìn)行核對(duì)����,來(lái)驗(yàn)證是否 制成了隨機(jī)驗(yàn)證頁(yè)。
3.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)�����,其特征在于���,上述Web服務(wù)器的驗(yàn)證頁(yè)生成單元���,使用預(yù)先確定的加密運(yùn)算式對(duì)服務(wù)器認(rèn)證發(fā)行請(qǐng) 求中所包含的一部分申請(qǐng)信息進(jìn)行加密運(yùn)算,并將所得到的加密數(shù)據(jù)作為驗(yàn)證信息顯示于 隨機(jī)驗(yàn)證頁(yè)����,上述注冊(cè)服務(wù)器的驗(yàn)證單元,使用上述預(yù)先確定的加密運(yùn)算式對(duì)接收到的服 務(wù)器認(rèn)證發(fā)行請(qǐng)求中所包含的一部分信息執(zhí)行加密運(yùn)算��,并將所生成的加密數(shù)據(jù)與從隨機(jī) 驗(yàn)證頁(yè)中讀出的驗(yàn)證信息進(jìn)行核對(duì)�����,來(lái)驗(yàn)證是否制成了隨機(jī)驗(yàn)證頁(yè)���。
4.根據(jù)權(quán)利要求3所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)�����,其特征在于��,上述Web服務(wù)器的驗(yàn)證頁(yè)生成單元���,使用所生成的密鑰對(duì)的公鑰進(jìn)行加密運(yùn)算�����,并將 所生成的加密數(shù)據(jù)作為驗(yàn)證信息顯示于隨機(jī)驗(yàn)證頁(yè)���,上述注冊(cè)服務(wù)器的驗(yàn)證單元����,使用CSR 中包含的公鑰進(jìn)行加密運(yùn)算,并將所生成的加密數(shù)據(jù)與從隨機(jī)驗(yàn)證頁(yè)中讀出的驗(yàn)證信息進(jìn) 行核對(duì)�����。
5.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)���,其特征在于���,作為上述服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中包含的Web服務(wù)器的地址信息�,使用該Web服務(wù)器 的IP地址����、FQDN或隨機(jī)驗(yàn)證頁(yè)的URL信息。
6.根據(jù)權(quán)利要求5所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)��,其特征在于���,上述注冊(cè)服務(wù)器�,訪問(wèn)服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中包含的隨機(jī)驗(yàn)證頁(yè)的URL���,以讀取驗(yàn)證fn息ο
7.根據(jù)權(quán)利要求5所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)���,其特征在于,上述注冊(cè)服務(wù)器����,具有使用服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中包含的Web服務(wù)器的FQDN或IP 地址、和驗(yàn)證頁(yè)的名稱來(lái)生成隨機(jī)驗(yàn)證頁(yè)的URL的單元���,并訪問(wèn)由所生成的URL確定的Web 服務(wù)器的隨機(jī)驗(yàn)證頁(yè)來(lái)讀取驗(yàn)證信息���。
8.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)���,其特征在于,上述Web服務(wù)器����,具有主要進(jìn)行Web以及郵件的設(shè)定和管理的控制面板,并在上述控制 面板中安裝有生成用于輸入上述申請(qǐng)信息的輸入畫面的單元����;生成公鑰和私鑰的密鑰對(duì) 的單元;生成CSR的單元��;驗(yàn)證頁(yè)生成單元��;以及生成服務(wù)器認(rèn)證書發(fā)行請(qǐng)求的單元����。
9.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)�,其特征在于,上述Web服務(wù)器�,具有向注冊(cè)服務(wù)器詢問(wèn)認(rèn)證書的發(fā)行狀況的狀態(tài)查詢單元�����,將賦予 的申請(qǐng)ID作為密鑰周期性地對(duì)注冊(cè)服務(wù)器執(zhí)行狀態(tài)查詢���。
10.根據(jù)權(quán)利要求9所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng),其特征在于����,上述注冊(cè)服務(wù)器還具有接收從認(rèn)證書發(fā)行服務(wù)器發(fā)送來(lái)的服務(wù)器認(rèn)證書的單元;將 接收到的服務(wù)器認(rèn)證書保存到下載區(qū)域的單元�����;對(duì)從上述Web服務(wù)器發(fā)送來(lái)的認(rèn)證書狀態(tài) 查詢進(jìn)行響應(yīng)的單元�;將保存在下載區(qū)域的服務(wù)器認(rèn)證書下載到Web服務(wù)器的下載單元,該注冊(cè)服務(wù)器���,在接收到將上述申請(qǐng)ID作為密鑰的來(lái)自Web服務(wù)器的認(rèn)證書狀態(tài)查詢 時(shí)�����,確認(rèn)對(duì)應(yīng)的服務(wù)器認(rèn)證書是否保存在下載區(qū)域���,在保存有服務(wù)器認(rèn)證書的情況下���,作為 對(duì)于該狀態(tài)查詢的響應(yīng),將保存在下載區(qū)域的服務(wù)器認(rèn)證書下載到Web服務(wù)器�,且將從服 務(wù)器認(rèn)證書的發(fā)行申請(qǐng)到將所發(fā)行的服務(wù)器認(rèn)證書下載到Web服務(wù)器為止的處理作為一 系列的處理自動(dòng)地執(zhí)行。
11.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)���,其特征在于����,Web服務(wù)器的管理者�,經(jīng)由終端和網(wǎng)絡(luò)訪問(wèn)自己管理的Web服務(wù)器,調(diào)出用于輸入服務(wù) 器認(rèn)證書的發(fā)行申請(qǐng)信息的輸入畫面��,并在輸入畫面上輸入必要的申請(qǐng)事項(xiàng)�。
12.根據(jù)權(quán)利要求1所述的服務(wù)器認(rèn)證書發(fā)行系統(tǒng),其特征在于�,上述注冊(cè)服務(wù)器還具有直接訪問(wèn)管理存儲(chǔ)有域名和IP地址的關(guān)系的數(shù)據(jù)庫(kù)的主域 名服務(wù)器、即DNS�,而取得與上述Web服務(wù)器的域名對(duì)應(yīng)的IP地址的單元;將所取得的IP地 址與隨機(jī)驗(yàn)證頁(yè)的IP地址進(jìn)行核對(duì)的單元���,在這些IP地址不一致時(shí),將服務(wù)器認(rèn)證書發(fā)行 請(qǐng)求作為錯(cuò)誤處理���。
全文摘要
在本發(fā)明的服務(wù)器認(rèn)證書發(fā)行系統(tǒng)中��,Web服務(wù)器安裝有進(jìn)行Web以及郵件的設(shè)定和管理的控制面板(21)���;生成用于輸入服務(wù)器認(rèn)證書的發(fā)行申請(qǐng)事項(xiàng)的輸入畫面的單元(30)�����;生成成對(duì)的公鑰和私鑰的密鑰對(duì)的單元(31)�����;生成包括所生成的公鑰的CSR的單元(32)�;生成表示認(rèn)證書發(fā)行請(qǐng)求意愿的隨機(jī)驗(yàn)證頁(yè)的單元(33)����;注冊(cè)服務(wù)器(10),從接收到的服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中獲取CSR�����,并且訪問(wèn)Web服務(wù)器讀取顯示于隨機(jī)驗(yàn)證頁(yè)的驗(yàn)證信息���,在對(duì)讀取到的驗(yàn)證信息和CSR進(jìn)行核對(duì)的結(jié)果一致時(shí)��,判斷為作為服務(wù)器認(rèn)證書的發(fā)行對(duì)象的Web服務(wù)器實(shí)際存在��,并將服務(wù)器認(rèn)證書發(fā)行請(qǐng)求中所包含的CSR發(fā)送到認(rèn)證書發(fā)行服務(wù)器(11)�。
文檔編號(hào)G06Q10/00GK101816149SQ20088010994
公開(kāi)日2010年8月25日 申請(qǐng)日期2008年7月15日 優(yōu)先權(quán)日2007年10月5日
發(fā)明者中條一郎, 木戶啟介 申請(qǐng)人:環(huán)球標(biāo)志株式會(huì)社