專利名稱:更新ssl證書(shū)的計(jì)算機(jī)系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及計(jì)算機(jī)系統(tǒng)����,并具體涉及更新用于建立安全的遠(yuǎn)程連接的SSL證書(shū)的技術(shù)。
背景技術(shù):
目前�,已知SSL證書(shū)可在兩個(gè)計(jì)算機(jī)之間例如客戶機(jī)和服務(wù)器之間提供安全連接。SSL證書(shū)是證明公開(kāi)加密密匙綁定在個(gè)人或計(jì)算機(jī)上的電子證書(shū)/文件��。SSL證書(shū)允許驗(yàn)證個(gè)人或計(jì)算機(jī)的���、特定公鑰與該個(gè)人或計(jì)算機(jī)相關(guān)聯(lián)的主張��。這使得另一方可確信該個(gè)人或計(jì)算機(jī)是該另一方打算與之通信的實(shí)體�。
SSL證書(shū)可以是“自簽名”或“證書(shū)管理機(jī)構(gòu)簽名”的�。“自簽名”證書(shū)是由個(gè)人或計(jì)算機(jī)頒發(fā)的證書(shū)��,其中該個(gè)人或計(jì)算機(jī)自身?yè)?dān)保在該證書(shū)中標(biāo)識(shí)的個(gè)人和計(jì)算機(jī)與證書(shū)中包含的公鑰相關(guān)聯(lián)�����?�!白C書(shū)管理機(jī)構(gòu)簽名”證書(shū)是由受信任的第三方(即“證書(shū)管理機(jī)構(gòu)”)頒發(fā)的證書(shū)���,該第三方擔(dān)保該證書(shū)內(nèi)標(biāo)識(shí)的個(gè)人或計(jì)算機(jī)與該證書(shū)內(nèi)包含的公鑰相關(guān)聯(lián)�。
下面給出SSL證書(shū)的已知用法的一個(gè)示例�����。客戶機(jī)向服務(wù)器請(qǐng)求一SSL證書(shū)(作為建立與該服務(wù)器的連接的前奏)�����?�?蛻魴C(jī)對(duì)SSL證書(shū)的請(qǐng)求指定了主機(jī)名�、域名(如果有的話)、和服務(wù)器的IP地址�。服務(wù)器使用已知的X.509 v3格式以SSL證書(shū)進(jìn)行響應(yīng)。服務(wù)器或者“自簽名”了該證書(shū)����,或者得到了證書(shū)管理機(jī)構(gòu)對(duì)該SSL證書(shū)的簽名。存儲(chǔ)器已將SSL證書(shū)存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)內(nèi)����。該SSL證書(shū)包括或者該主機(jī)的完全合格的“識(shí)別”(distinguished)名或者該主機(jī)的短名。該完全合格的識(shí)別名包括主機(jī)名和主機(jī)域名��。該短名包括主機(jī)名但是不包括主機(jī)域名�;在一些環(huán)境中主機(jī)沒(méi)有域名。在這兩種情況下,該SSL證書(shū)可以可選地包括主機(jī)IP地址的列表作為SSL證書(shū)的擴(kuò)展�����。另外��,在這兩種情況下�,該SSL證書(shū)指定用于給客戶機(jī)和服務(wù)器之間的一些隨后的信息加密的公鑰�。當(dāng)客戶機(jī)從服務(wù)器接收到該SSL證書(shū)時(shí),客戶機(jī)將客戶機(jī)的初始請(qǐng)求中的主機(jī)名和主機(jī)域名�����、主機(jī)名或IP地址����,與該SSL證書(shū)中的該識(shí)別名、短名證書(shū)擴(kuò)展(如果有的話)�、或IP地址證書(shū)擴(kuò)展(如果有的話)相比較。如果該主機(jī)名和域名����、主機(jī)名或IP地址匹配,則客戶機(jī)確信該服務(wù)器是預(yù)期的通信合作方�����,并將繼續(xù)建立與該服務(wù)器的(加密的)SSL連接?����?蛻魴C(jī)使用所述公鑰來(lái)創(chuàng)建另一個(gè)會(huì)話加密密匙來(lái)給該會(huì)話中的隨后信息加密����。該服務(wù)器也使用該同一會(huì)話加密密匙。
有時(shí)�����,主機(jī)名����、域名(如果有的話)、或服務(wù)器IP地址會(huì)改變�����。例如���,在服務(wù)器從一個(gè)擁有者移動(dòng)到另一個(gè)擁有者時(shí)��,主機(jī)名和域名會(huì)改變�。這是因?yàn)橹鳈C(jī)名會(huì)指定擁有者,而域名會(huì)指定該擁有者內(nèi)的組織層���。當(dāng)服務(wù)器移動(dòng)到不同網(wǎng)絡(luò)時(shí)�����,服務(wù)器IP地址會(huì)改變。當(dāng)主機(jī)名����、域名或服務(wù)器IP地址改變時(shí),服務(wù)器存儲(chǔ)的SSL證書(shū)的定義也必須改變���。否則����,當(dāng)服務(wù)器將SSL證書(shū)提供給客戶機(jī)時(shí)�,主機(jī)名、域名(如果有的話)����、和/或IP地址將不會(huì)匹配客戶機(jī)所預(yù)期的。從而�,客戶機(jī)會(huì)推斷提供該證書(shū)的服務(wù)器不是預(yù)期的通信合作方,并且會(huì)不與該服務(wù)器建立連接�����。目前�����,改變主機(jī)名�����、域名或服務(wù)器IP地址的人必須記著改變SSL證書(shū)的定義��,并然后手動(dòng)進(jìn)行改變���。
本發(fā)明的一個(gè)目標(biāo)是改進(jìn)在主機(jī)名���、域名或服務(wù)器IP地址改變時(shí)更新SSL證書(shū)的定義的過(guò)程。
發(fā)明內(nèi)容
本發(fā)明在于用于更新服務(wù)器的SSL證書(shū)的系統(tǒng)��、方法和計(jì)算機(jī)程序產(chǎn)品���。第一程序指令檢測(cè)到服務(wù)器的名稱����、域名或IP地址何時(shí)已改變,并檢測(cè)到服務(wù)器在使用基于在改變之前適用的名稱�、域名或IP地址的SSL證書(shū)。作為響應(yīng)����,第一程序指令通知管理員,需要改變SSL證書(shū)以反映名稱��、域名或IP地址的改變����。
根據(jù)本發(fā)明的特征����,第二程序指令響應(yīng)于管理員的請(qǐng)求,自動(dòng)創(chuàng)建一新的SSL證書(shū)簽名請(qǐng)求��。該新的SSL簽名請(qǐng)求是一可發(fā)送給SSL證書(shū)管理機(jī)構(gòu)的表單�。第三程序指令響應(yīng)于管理員的另一個(gè)請(qǐng)求,將該新的SSL證書(shū)簽名請(qǐng)求發(fā)送給該SSL證書(shū)管理機(jī)構(gòu)�。第四程序指令響應(yīng)于接收到來(lái)自SSL證書(shū)管理機(jī)構(gòu)的新的SSL證書(shū)和管理員的另一個(gè)請(qǐng)求�����,用該新的SSL證書(shū)代替現(xiàn)有的SSL證書(shū)�。第四程序指令詢問(wèn)管理員�,管理員是否要使用反映服務(wù)器的名稱、域名或IP地址的改變的新的自簽名SSL證書(shū)��,直到從SSL證書(shū)管理機(jī)構(gòu)接收到由該SSL證書(shū)管理機(jī)構(gòu)簽名的新的SSL證書(shū)����,并且如果是這樣的話,生成新的SSL自簽名證書(shū)��。
根據(jù)本發(fā)明的其他特征���,其他程序指令響應(yīng)于管理員的請(qǐng)求����,創(chuàng)建自簽名SSL證書(shū)���。再有其他程序指令響應(yīng)于自簽名SSL證書(shū)的創(chuàng)建以及管理員的請(qǐng)求��,用該自簽名的SSL證書(shū)代替現(xiàn)有的SSL證書(shū)���。
圖1是結(jié)合了本發(fā)明的網(wǎng)絡(luò)復(fù)合體的框圖�����。
圖2是圖1的網(wǎng)絡(luò)復(fù)合體內(nèi)的客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)系統(tǒng)的更詳細(xì)的框圖���。
圖3是示出圖2的服務(wù)器計(jì)算機(jī)系統(tǒng)內(nèi)的管理服務(wù)器進(jìn)行的操作和處理以使能使用SSL證書(shū)的、該管理服務(wù)器的遠(yuǎn)程操作的流程圖���。
圖4是示出在操作員改變管理服務(wù)器的IP地址���、主機(jī)名或網(wǎng)絡(luò)域名時(shí)根據(jù)本發(fā)明的管理服務(wù)器的操作和處理的流程圖。
具體實(shí)施例方式
下面將參照附圖詳細(xì)說(shuō)明本發(fā)明�����。圖1示出被一般地標(biāo)示為10的網(wǎng)絡(luò)復(fù)合體����,在該復(fù)合體內(nèi)結(jié)合并使用了本發(fā)明��。網(wǎng)絡(luò)復(fù)合體10包括多個(gè)客戶計(jì)算機(jī)(簡(jiǎn)稱為“客戶機(jī)”)101����、104等�����,一服務(wù)器計(jì)算機(jī)系統(tǒng)(簡(jiǎn)稱為“服務(wù)器系統(tǒng)”)109�����,和使該些客戶計(jì)算機(jī)和該服務(wù)器計(jì)算機(jī)系統(tǒng)互連的網(wǎng)絡(luò)107�����。作為示例�����,網(wǎng)絡(luò)107可以是內(nèi)聯(lián)網(wǎng)���、因特網(wǎng)(包括萬(wàn)維網(wǎng))或某種其他的網(wǎng)絡(luò)。為了允許這種互連�����,每個(gè)客戶機(jī)101和104包括各自的網(wǎng)絡(luò)接口卡103和105��,且服務(wù)器系統(tǒng)109同樣包括網(wǎng)絡(luò)接口卡110。每個(gè)網(wǎng)絡(luò)接口卡103�、105和110可以是以太網(wǎng)卡或令牌環(huán)卡或其他使計(jì)算機(jī)和網(wǎng)絡(luò)互連的硬件裝置。另外��,在網(wǎng)絡(luò)107內(nèi)以及網(wǎng)絡(luò)卡103和105與網(wǎng)絡(luò)卡110之間存在已知的通信硬件例如電纜和路由器���。操作員使用客戶機(jī)101來(lái)遠(yuǎn)程訪問(wèn)和操作服務(wù)器系統(tǒng)109����,并使用SSL證書(shū)來(lái)保護(hù)連接的安全��?���?蛻魴C(jī)101和104使用各自的盤(pán)存儲(chǔ)設(shè)備102和106以存儲(chǔ)和讀取如下所述的數(shù)據(jù)庫(kù)。服務(wù)器系統(tǒng)109使用可拆裝的媒體裝置108例如可寫(xiě)CD��、軟盤(pán)或DVD來(lái)存儲(chǔ)和讀取如下所述的其他數(shù)據(jù)庫(kù)�。
圖2更詳細(xì)地示出客戶機(jī)101和服務(wù)器109?���?蛻魴C(jī)101包括已知的Web瀏覽器207和盤(pán)存儲(chǔ)器102內(nèi)的數(shù)據(jù)庫(kù)208����。服務(wù)器系統(tǒng)109包括已知的通信裝置202或Web服務(wù)器�����,以經(jīng)由網(wǎng)絡(luò)接口卡110使能與網(wǎng)絡(luò)107的通信���。(在下面的說(shuō)明中,通信裝置202是一Web服務(wù)器�,盡管這不是必需的)。服務(wù)器系統(tǒng)109還包括管理服務(wù)器204��,該管理服務(wù)器經(jīng)由已知的支持元件計(jì)算機(jī)232控制已知的生產(chǎn)服務(wù)器230����,并為該管理提供用戶接口。該管理服務(wù)器的管理功能包括劃分生產(chǎn)服務(wù)器230的資源(即處理器�、內(nèi)存、存儲(chǔ)器��、I/O適配器等)�����,開(kāi)啟生產(chǎn)服務(wù)器230,對(duì)生產(chǎn)服務(wù)器230進(jìn)行初始微程序裝入和初始程序裝入�,診斷生產(chǎn)服務(wù)器內(nèi)的問(wèn)題,并通知負(fù)責(zé)解決這些問(wèn)題的人�,關(guān)閉生產(chǎn)服務(wù)器等。作為示例���,管理服務(wù)器204為IBM硬件管理控制臺(tái)服務(wù)器�����。
生產(chǎn)服務(wù)器230執(zhí)行應(yīng)用和完成生產(chǎn)任務(wù)例如為客戶機(jī)101處理事務(wù)��。支持元件計(jì)算機(jī)232實(shí)現(xiàn)通過(guò)管理服務(wù)器204請(qǐng)求的管理功能��。作為示例��,支持元件計(jì)算機(jī)232是與IBM硬件管理控制臺(tái)服務(wù)器一起工作的IBM支持元件��。服務(wù)器系統(tǒng)109還包括存儲(chǔ)在由服務(wù)器202和204訪問(wèn)的盤(pán)存儲(chǔ)器111內(nèi)的配置數(shù)據(jù)和證書(shū)數(shù)據(jù)庫(kù)205��。
Web瀏覽器207可以使用SSL證書(shū)的安全的方式或以沒(méi)有SSL證書(shū)的不安全方式與Web服務(wù)器202通信���。對(duì)于一些類型的通信,Web瀏覽器207將需要安全的連接����,并因此需要來(lái)自服務(wù)器系統(tǒng)109的有效的SSL證書(shū)。為了建立每個(gè)SSL連接��,Web服務(wù)器202使用服務(wù)器數(shù)據(jù)庫(kù)205中存儲(chǔ)的SSL證書(shū)和配置數(shù)據(jù)��?�?蛻粲?jì)算機(jī)101內(nèi)的Web瀏覽器207也使用客戶數(shù)據(jù)庫(kù)208中存儲(chǔ)的SSL證書(shū)����。客戶機(jī)的SSL證書(shū)可能是與Web瀏覽器產(chǎn)品一起提供的���。當(dāng)服務(wù)器109提供的SSL證書(shū)為“證書(shū)管理機(jī)構(gòu)簽名的證書(shū)”時(shí)�,可使用客戶數(shù)據(jù)庫(kù)208內(nèi)存儲(chǔ)的SSL證書(shū)來(lái)證明服務(wù)器109提供的SSL證書(shū)的真實(shí)性��。這些證書(shū)管理機(jī)構(gòu)簽名的證書(shū)包括關(guān)于擔(dān)保該證書(shū)內(nèi)包含的個(gè)人或計(jì)算機(jī)與該證書(shū)內(nèi)包含的公鑰相關(guān)聯(lián)的證書(shū)管理機(jī)構(gòu)的信息��?���?蛻魯?shù)據(jù)庫(kù)208內(nèi)存儲(chǔ)的SSL證書(shū)包含最常見(jiàn)的證書(shū)管理機(jī)構(gòu)的公鑰,并用于驗(yàn)證服務(wù)器提供的證書(shū)中關(guān)于證書(shū)管理機(jī)構(gòu)的信息是真實(shí)的�����。如下文將更詳細(xì)說(shuō)明的,管理服務(wù)器204創(chuàng)建并修改服務(wù)器數(shù)據(jù)庫(kù)205中存儲(chǔ)的SSL證書(shū)��,而Web服務(wù)器202讀取該些證書(shū)����。另外,如下文將更詳細(xì)說(shuō)明的����,管理服務(wù)器204將證書(shū)簽名請(qǐng)求寫(xiě)入可拆裝的媒體203。
圖3的流程圖示出客戶機(jī)101通過(guò)Web服務(wù)器202使用SSL證書(shū)建立與Web服務(wù)器202的安全連接���,而為管理服務(wù)器204的遠(yuǎn)程操作做好準(zhǔn)備�����。在步驟300中�����,操作員調(diào)用服務(wù)器109上的Web瀏覽器240以經(jīng)由Web服務(wù)器202訪問(wèn)管理服務(wù)器204的用戶接口����。這將使能管理服務(wù)器204的遠(yuǎn)程操作,并通過(guò)管理服務(wù)器204和支持元件計(jì)算機(jī)232使能生產(chǎn)服務(wù)器230的間接操作����。通過(guò)該用戶接口,操作員請(qǐng)求遠(yuǎn)程訪問(wèn)管理服務(wù)器204(步驟301)��。作為響應(yīng)����,管理服務(wù)器204確定服務(wù)器系統(tǒng)109是否被配置成支持SSL證書(shū)(步驟302)���。該確定是通過(guò)檢查用于服務(wù)器系統(tǒng)109的配置表來(lái)進(jìn)行的�����。如果是這樣(這是示出的情況)�����,管理服務(wù)器204通過(guò)允許Web瀏覽器240的操作員從管理服務(wù)器接口進(jìn)行控制選擇來(lái)應(yīng)允對(duì)遠(yuǎn)程訪問(wèn)的請(qǐng)求(步驟311)�����。但是��,如果服務(wù)器系統(tǒng)109還沒(méi)有配置成支持SSL證書(shū)���,則管理服務(wù)器204詢問(wèn)用戶�����,其是否希望服務(wù)器系統(tǒng)109此時(shí)提供用于服務(wù)器系統(tǒng)109的SSL證書(shū)(步驟303)�����。如果用戶響應(yīng)為其此時(shí)不需要SSL證書(shū)����,則如前文在步驟311中所述的�����,管理服務(wù)器204應(yīng)允對(duì)遠(yuǎn)程訪問(wèn)的請(qǐng)求(沒(méi)有創(chuàng)建SSL證書(shū))��。再次參照步驟303��,當(dāng)操作員響應(yīng)為其需要服務(wù)器系統(tǒng)109提供服務(wù)器系統(tǒng)109的SSL證書(shū)時(shí)��,轉(zhuǎn)到“是”分支�����。在這種情況下,管理服務(wù)器204詢問(wèn)操作員其是否希望服務(wù)器系統(tǒng)109創(chuàng)建自簽名的證書(shū)或獲得證書(shū)管理機(jī)構(gòu)簽名的證書(shū)(步驟304)��。如果操作員響應(yīng)為其需要證書(shū)管理機(jī)構(gòu)簽名的證書(shū)(步驟304���,“否”分支)��,則管理服務(wù)器204詢問(wèn)操作員來(lái)提供證書(shū)內(nèi)包含的一些信息例如服務(wù)器系統(tǒng)109的主機(jī)名(步驟307)。在操作員提供所需的信息之后����,管理服務(wù)器204創(chuàng)建證書(shū)簽名請(qǐng)求(“CSR”),并將其寫(xiě)入可拆裝的媒體203(步驟308)��。Web瀏覽器240的操作員然后將此CSR以電子郵件發(fā)送或以其他方式發(fā)送給證書(shū)管理機(jī)構(gòu)例如VeriSign或Entrust�。通常,使用一著名的證書(shū)管理機(jī)構(gòu)�,這是因?yàn)槌R?jiàn)的Web瀏覽器例如MicrosoftInternet Explorer和Netscape瀏覽器被封裝為包含著名的證書(shū)管理機(jī)構(gòu)的證書(shū)。但是�����,如果需要的話管理員可選擇另一種證書(shū)管理機(jī)構(gòu)���。因?yàn)樽C書(shū)管理機(jī)構(gòu)要花費(fèi)大量時(shí)間接收和處理CSR并返回簽名的證書(shū)�,所以管理服務(wù)器204詢問(wèn)Web瀏覽器240的操作員,其是否希望使用具有在步驟307中輸入的新主機(jī)信息的自簽名的證書(shū)(即服務(wù)器系統(tǒng)109簽名的證書(shū))�,直到管理服務(wù)器204接收到證書(shū)管理機(jī)構(gòu)簽名的證書(shū)(步驟309)。如果用戶選擇使用自簽名的證書(shū)�,則管理服務(wù)器240創(chuàng)建該證書(shū)(步驟310),將該證書(shū)寫(xiě)入Web服務(wù)器202期望SSL證書(shū)所在的�、數(shù)據(jù)庫(kù)205上的目錄,并重新啟動(dòng)Web服務(wù)器202從而該Web服務(wù)器將使用該新的自簽名證書(shū)啟動(dòng)�����。
再次參照步驟304�����,當(dāng)Web瀏覽器240的操作員一開(kāi)始響應(yīng)為其需要自簽名證書(shū)時(shí)���,則轉(zhuǎn)到“是”分支��。在這種情況下����,管理服務(wù)器240詢問(wèn)操作員來(lái)提供證書(shū)內(nèi)包含的一些信息例如服務(wù)器系統(tǒng)109的主機(jī)名(步驟305)����。在提供信息之后����,管理服務(wù)器204創(chuàng)建自簽名證書(shū)�,并詢問(wèn)操作員其是否愿意立即開(kāi)始使用該新證書(shū)(步驟306)。如果是這樣的話���,則管理服務(wù)器204重新啟動(dòng)Web服務(wù)器202����,從而該新的自簽名證書(shū)變?yōu)樯У?步驟310)�。然后����,管理服務(wù)器204進(jìn)行到步驟311以準(zhǔn)許未來(lái)的、Web服務(wù)器202的遠(yuǎn)程客戶機(jī)例如客戶機(jī)101的遠(yuǎn)程訪問(wèn)�����。在步驟311之后(不管通向步驟311的路徑如何)��,操作員與管理服務(wù)器204接口�����,并從而經(jīng)由管理服務(wù)器204和支持元件計(jì)算機(jī)232控制生產(chǎn)服務(wù)器230(步驟312)。
圖4的流程圖示出在管理服務(wù)器204的管理員改變網(wǎng)絡(luò)系統(tǒng)109的IP地址�����、主機(jī)名或網(wǎng)絡(luò)域名時(shí)Web服務(wù)器202和管理服務(wù)器204的操作和處理�����。在步驟400中����,管理員選擇選項(xiàng)或應(yīng)用以改變管理服務(wù)器204的網(wǎng)絡(luò)配置設(shè)置。如果管理服務(wù)器204是IBM硬件管理控制臺(tái)服務(wù)器�����,則此選項(xiàng)或應(yīng)用被稱為“配置網(wǎng)絡(luò)設(shè)置”�����。這些設(shè)置包括服務(wù)器系統(tǒng)109的主機(jī)名(例如“hmeserver”)��、網(wǎng)絡(luò)域名(例如“ibm.com”)以及IP地址。管理員可(本地)使用Web瀏覽器240并通過(guò)控制臺(tái)235輸入其選擇��?����;蛘呖蛇x擇地�����,管理員可(遠(yuǎn)程)位于客戶機(jī)101處��,并使用圖3中所示的會(huì)話建立過(guò)程來(lái)訪問(wèn)管理服務(wù)器204的用戶接口���。在后一情況下��,在管理員改變網(wǎng)絡(luò)配置設(shè)置之后�����,SSL證書(shū)將變得不準(zhǔn)確和無(wú)效,但是只要當(dāng)前會(huì)話未中斷就會(huì)有效���。(如下文將更詳細(xì)說(shuō)明的��,當(dāng)在此會(huì)話期間改變網(wǎng)絡(luò)配置設(shè)置之后����,管理員將退出系統(tǒng)并重新啟動(dòng)Web服務(wù)器202和服務(wù)器計(jì)算機(jī)109上的TCP/IP棧,以將該新的SSL證書(shū)和網(wǎng)絡(luò)配置設(shè)置改變應(yīng)用于服務(wù)器系統(tǒng)109)�。
根據(jù)本發(fā)明,當(dāng)在控制臺(tái)205處的本地管理員或在客戶機(jī)處的遠(yuǎn)程管理員對(duì)服務(wù)器系統(tǒng)109的一個(gè)或多個(gè)網(wǎng)絡(luò)配置設(shè)置進(jìn)行改變時(shí)�����,管理服務(wù)器204檢測(cè)到該變化(步驟401)���。(這種對(duì)改變的檢測(cè)以及下文將說(shuō)明的因此更新SSL證書(shū)的隨后步驟��,確保了SSL證書(shū)被更新以反映該改變����。這避免了現(xiàn)有技術(shù)的問(wèn)題����,其中網(wǎng)絡(luò)配置設(shè)置改變了,而SSL證書(shū)沒(méi)有改變)���。在管理服務(wù)器204檢測(cè)到該變化之后�,管理服務(wù)器204判定Web服務(wù)器202是否被配置成對(duì)于與任何其他計(jì)算機(jī)的任何連接支持SSL證書(shū)(步驟402)。如果不是��,則管理員重新啟動(dòng)服務(wù)器系統(tǒng)109上的TCP/IP棧以將該變化應(yīng)用于網(wǎng)絡(luò)配置(步驟411)����。再次參照步驟402,當(dāng)管理服務(wù)器204判定Web服務(wù)器202被配置成使用SSL證書(shū)時(shí)�����,轉(zhuǎn)到“是”分支��。在這種情況下�����,管理服務(wù)器203判定服務(wù)器系統(tǒng)109的當(dāng)前的SSL證書(shū)是自簽名的還是證書(shū)管理機(jī)構(gòu)簽名的(判定403)���。如果該SSL證書(shū)是證書(shū)管理機(jī)構(gòu)簽名的(判定403�,“否”分支)��,則管理服務(wù)器204自動(dòng)詢問(wèn)管理員�,其是否希望使管理服務(wù)器204使用該新的主機(jī)信息(即步驟401中改變的信息)自動(dòng)生成新的證書(shū)簽名請(qǐng)求(CSR)�,以從證書(shū)管理機(jī)構(gòu)獲得具有該新的主機(jī)信息的更新的、簽名的SSL證書(shū)(步驟406)。因?yàn)殛P(guān)于服務(wù)器系統(tǒng)109的信息已改變(盡管該改變直到步驟411才應(yīng)用)���,所以必須獲得更新的SSL證書(shū)���。因此,如果Web服務(wù)器202隨后將當(dāng)前證書(shū)提供給客戶機(jī)101�,則當(dāng)前SSL證書(shū)內(nèi)的關(guān)于服務(wù)器系統(tǒng)109的信息將不會(huì)匹配客戶機(jī)101所預(yù)期的、服務(wù)器系統(tǒng)109的信息���。從而�����,沒(méi)有更新的簽名的SSL證書(shū)��,客戶機(jī)101將不會(huì)與Web服務(wù)器202建立隨后的(旨在是安全的)連接�。
再次參照判定406�����,當(dāng)管理員響應(yīng)為其希望管理服務(wù)器204生成具有更新的服務(wù)器系統(tǒng)109的信息的新的CSR�����,并從而接收用于服務(wù)器系統(tǒng)109的更新的、簽名的SSL證書(shū)時(shí)�,轉(zhuǎn)到“是”分支。在這種情況下����,管理服務(wù)器204生成包含更新的服務(wù)器系統(tǒng)109的信息的新CSR,并將其寫(xiě)入可拆裝媒體203(步驟407)�。因?yàn)樽C書(shū)管理機(jī)構(gòu)要花費(fèi)大量的時(shí)間來(lái)接收和處理CSR并返回更新的、簽名的SSL證書(shū)����,所以管理服務(wù)器204詢問(wèn)管理員其是否要使用具有在步驟401輸入的新信息的自簽名的證書(shū)(由服務(wù)器系統(tǒng)109簽名),直到從證書(shū)管理機(jī)構(gòu)接收到簽名的證書(shū)(步驟409)�����。如果操作員響應(yīng)為其愿意使用自簽名的SSL證書(shū)直到收到簽名的SSL證書(shū)�����,則管理服務(wù)器204創(chuàng)建該自簽名的SSL證書(shū)并用該新簽名的證書(shū)更新其證書(shū)數(shù)據(jù)庫(kù)205(步驟410)���。然后����,管理服務(wù)器204重新啟動(dòng)服務(wù)器系統(tǒng)109上的TCP/IP棧并重新啟動(dòng)Web服務(wù)器202以應(yīng)用步驟401中做出的改變(步驟410)。在隨后從證書(shū)管理機(jī)構(gòu)接收到根據(jù)所述新的CSR的更新的SSL證書(shū)后����,管理員指引管理服務(wù)器204將該新證書(shū)寫(xiě)入證書(shū)數(shù)據(jù)庫(kù)205中���,并重新啟動(dòng)Web服務(wù)器202以應(yīng)用在步驟401中做出的改變(步驟415)���。如果在步驟408,管理員確定不請(qǐng)求或使用臨時(shí)的���、自簽名的證書(shū)���,則管理服務(wù)器204重新啟動(dòng)服務(wù)器系統(tǒng)109上的TCP/IP棧(步驟430)以應(yīng)用在步驟401中做出的改變并等待,直到接收到證書(shū)管理機(jī)構(gòu)簽名的證書(shū)以繼續(xù)步驟415中的處理�����。
再次參照步驟406����,當(dāng)SSL證書(shū)(在更新之前)是證書(shū)管理機(jī)構(gòu)簽名的,并且在客戶機(jī)101處的管理員不希望管理服務(wù)器204用關(guān)于服務(wù)器系統(tǒng)109的更新信息自動(dòng)生成新的CSR時(shí)�,轉(zhuǎn)到“否”分支�。相反��,管理員本身希望生成新的CSR�����。在這種情況下���,管理服務(wù)器204通知管理員手動(dòng)開(kāi)始生成新的CSR(步驟422)�����,并重新啟動(dòng)TCP/IP棧以應(yīng)用在步驟401中做出的改變(步驟432)��。作為響應(yīng)�,管理員指引管理服務(wù)器204創(chuàng)建新的CSR(步驟424)���,并將該CSR發(fā)送給管理員指定的證書(shū)管理機(jī)構(gòu)(步驟426)��。在管理服務(wù)器204從證書(shū)管理機(jī)構(gòu)接收到新的�、簽名的SSL證書(shū)之后�,管理員指引管理服務(wù)器204將該新SSL證書(shū)寫(xiě)入服務(wù)器證書(shū)數(shù)據(jù)庫(kù)205,并重新啟動(dòng)Web服務(wù)器202以應(yīng)用包括步驟401內(nèi)做出的更新的該新的證書(shū)(步驟428)??蛻魴C(jī)101處的管理員通過(guò)在由Web瀏覽器207呈現(xiàn)的用于管理服務(wù)器204的屏幕界面中輸入條目,來(lái)在步驟424��、426和428中手動(dòng)指引管理服務(wù)器204���。
再次參照判定403,當(dāng)管理服務(wù)器204判定服務(wù)器系統(tǒng)109目前使用自簽名的SSL證書(shū)時(shí)�����,轉(zhuǎn)到“是”分支�����。在這種情況下�����,管理服務(wù)器204詢問(wèn)在客戶機(jī)101處的管理員��,其是否希望管理服務(wù)器204自動(dòng)重新生成自簽名的SSL證書(shū)(步驟404)�����。如果管理員響應(yīng)為其不希望管理服務(wù)器204自動(dòng)生成新的��、自簽名的SSL證書(shū),則管理服務(wù)器204通知管理員開(kāi)始手動(dòng)創(chuàng)建新的��、自簽名的SSL證書(shū)(步驟405)�,并重新啟動(dòng)服務(wù)器系統(tǒng)109上的TCP/IP棧(步驟433)。作為響應(yīng)���,管理員手動(dòng)指引管理服務(wù)器204創(chuàng)建新的����、自簽名的證書(shū)(步驟434)��,將該證書(shū)寫(xiě)入服務(wù)器證書(shū)數(shù)據(jù)庫(kù)205(步驟436)��,并重新啟動(dòng)Web服務(wù)器202以開(kāi)始使用該新證書(shū)(步驟438)���。在客戶機(jī)101處的管理員通過(guò)在由Web瀏覽器207呈現(xiàn)的用于管理服務(wù)器204的屏幕界面中輸入條目����,來(lái)在步驟434���、436和438內(nèi)手動(dòng)指引管理服務(wù)器204�����。
再次參照步驟404�,當(dāng)管理員響應(yīng)為其希望管理服務(wù)器204自動(dòng)生成新的、自簽名的SSL證書(shū)時(shí)����,轉(zhuǎn)到“是”分支。作為響應(yīng)���,管理服務(wù)器204自動(dòng)生成新的自簽名的SSL證書(shū)����,將該新的自簽名證書(shū)存儲(chǔ)在服務(wù)器證書(shū)數(shù)據(jù)庫(kù)205內(nèi)���,并重新啟動(dòng)服務(wù)器系統(tǒng)109上的TCP/IP棧和Web服務(wù)器202以應(yīng)用在步驟401內(nèi)做出的改變(步驟425)。
在步驟415�、425、428或438后�,在客戶機(jī)101處的操作員可向Web服務(wù)器202請(qǐng)求SSL證書(shū)以與Web服務(wù)器202建立安全的連接,并與管理服務(wù)器204接口以執(zhí)行在圖2的詳細(xì)說(shuō)明中所述的功能����。
根據(jù)上文說(shuō)明,已公開(kāi)了一種用于更新SSL證書(shū)的系統(tǒng)、方法和程序產(chǎn)品��。但是�,可在不背離本發(fā)明的范圍的情況下進(jìn)行多種改變和替代。因此�����,所公開(kāi)的本發(fā)明僅作為說(shuō)明而不是限制�,并且應(yīng)參照下面的權(quán)利要求來(lái)確定本發(fā)明的范圍。
權(quán)利要求
1.一種用于更新服務(wù)器的SSL證書(shū)的計(jì)算機(jī)程序產(chǎn)品�,所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀媒體;以及第一程序指令���,其檢測(cè)到所述服務(wù)器的名稱�����、域名或IP地址何時(shí)已改變���,并檢測(cè)到所述服務(wù)器在使用基于在所述改變之前適用的名稱、域名或IP地址的SSL證書(shū)����,并且作為響應(yīng)�����,通知管理員��,需要改變所述SSL證書(shū)以反映所述名稱�����、域名或IP地址的所述改變�;并且其中所述第一程序指令記錄在所述媒體上����。
2.根據(jù)權(quán)利要求1的計(jì)算機(jī)程序產(chǎn)品,還包括第二程序指令���,其響應(yīng)于所述管理員的自動(dòng)創(chuàng)建新的SSL證書(shū)簽名請(qǐng)求的請(qǐng)求,自動(dòng)創(chuàng)建所述新的SSL證書(shū)簽名請(qǐng)求�����,所述新的SSL證書(shū)簽名請(qǐng)求是可被發(fā)送給SSL證書(shū)管理機(jī)構(gòu)的表單����;并且其中所述第二程序指令記錄在所述媒體上���。
3.根據(jù)權(quán)利要求2的計(jì)算機(jī)程序產(chǎn)品,還包括第三程序指令���,其響應(yīng)于將所述新的SSL證書(shū)簽名請(qǐng)求發(fā)送給所述SSL證書(shū)管理機(jī)構(gòu)的請(qǐng)求���,將所述新的SSL證書(shū)簽名請(qǐng)求發(fā)送給所述SSL證書(shū)管理機(jī)構(gòu);并且其中所述第三程序指令記錄在所述媒體上����。
4.根據(jù)權(quán)利要求3的計(jì)算機(jī)程序產(chǎn)品,還包括第四程序指令��,其響應(yīng)于接收到來(lái)自所述SSL證書(shū)管理機(jī)構(gòu)的新的SSL證書(shū)和管理員的改變所述第一SSL證書(shū)的請(qǐng)求�����,用所述新的SSL證書(shū)代替所述第一SSL證書(shū)��;并且其中所述第四程序指令記錄在所述媒體上����。
5.根據(jù)權(quán)利要求3的計(jì)算機(jī)程序產(chǎn)品,還包括第四程序指令�����,其詢問(wèn)所述管理員,所述管理員是否要使用反映所述服務(wù)器的所述名稱�����、域名或IP地址的所述改變的新的自簽名SSL證書(shū)���,直到從所述SSL證書(shū)管理機(jī)構(gòu)接收到由所述SSL證書(shū)管理機(jī)構(gòu)簽名的所述新SSL證書(shū)���,并且如果這樣的話,生成所述新的SSL自簽名證書(shū)�����;并且其中所述第四程序指令記錄在所述媒體上����。
6.根據(jù)權(quán)利要求1的計(jì)算機(jī)程序產(chǎn)品��,還包括第二程序指令����,其響應(yīng)于所述管理員的創(chuàng)建自簽名的SSL證書(shū)的請(qǐng)求�����,自動(dòng)創(chuàng)建自簽名的SSL證書(shū)���;并且其中所述第二程序指令記錄在所述媒體上。
7.根據(jù)權(quán)利要求6的計(jì)算機(jī)程序產(chǎn)品�����,還包括第三程序指令��,其響應(yīng)于創(chuàng)建所述自簽名的SSL證書(shū)和管理員的改變第一所述SSL證書(shū)的請(qǐng)求�����,用所述自簽名的SSL證書(shū)代替所述第一SSL證書(shū)��;并且其中所述第三程序指令記錄在所述媒體上�。
8.一種用于更新服務(wù)器的SSL證書(shū)的計(jì)算機(jī)系統(tǒng),所述系統(tǒng)包括用于檢測(cè)到服務(wù)器的名稱��、域名或IP地址何時(shí)已改變����,并檢測(cè)到所述服務(wù)器在使用基于在所述改變之前適用的名稱�、域名或IP地址的SSL證書(shū)的裝置�����;以及用于響應(yīng)于檢測(cè)到所述變化以及檢測(cè)到所述服務(wù)器使用S SL證書(shū)��,通知管理員需要改變所述SSL證書(shū)以反映所述名稱�、域名或IP地址的所述改變的裝置。
9.根據(jù)權(quán)利要求8的計(jì)算機(jī)系統(tǒng)�,還包括用于響應(yīng)于所述管理員的創(chuàng)建新的SSL證書(shū)簽名請(qǐng)求的請(qǐng)求,自動(dòng)創(chuàng)建所述新的SSL證書(shū)簽名請(qǐng)求的裝置��,所述新的SSL證書(shū)簽名請(qǐng)求是可被發(fā)送給SSL證書(shū)管理機(jī)構(gòu)的表單���。
10.根據(jù)權(quán)利要求8的計(jì)算機(jī)系統(tǒng)���,還包括用于響應(yīng)于將所述新的SSL證書(shū)簽名請(qǐng)求發(fā)送給所述SSL書(shū)管理機(jī)構(gòu)的請(qǐng)求,將所述新的SSL證書(shū)簽名請(qǐng)求發(fā)送給所述SSL證書(shū)管理機(jī)構(gòu)的裝置�����。
11.根據(jù)權(quán)利要求10的計(jì)算機(jī)系統(tǒng)�����,還包括用于響應(yīng)于接收到來(lái)自所述SSL證書(shū)管理機(jī)構(gòu)的新的SSL證書(shū)和管理員的改變第一所述SSL證書(shū)的請(qǐng)求���,用所述新的SSL證書(shū)代替所述第一SSL證書(shū)的裝置����。
12.根據(jù)權(quán)利要求10的計(jì)算機(jī)系統(tǒng)���,還包括用于詢問(wèn)所述管理員��,所述管理員是否要使用反映所述服務(wù)器的所述名稱���、域名或IP地址的所述改變的新的自簽名SSL證書(shū),直到從所述SSL證書(shū)管理機(jī)構(gòu)接收到由所述SSL證書(shū)管理機(jī)構(gòu)簽名的所述新SSL證書(shū)��,并且如果這樣的話����,生成所述新的SSL自簽名證書(shū)的裝置。
13.根據(jù)權(quán)利要求8的計(jì)算機(jī)系統(tǒng)�,還包括用于響應(yīng)于所述管理員的創(chuàng)建自簽名的SSL證書(shū)的請(qǐng)求,自動(dòng)創(chuàng)建自簽名的SSL證書(shū)的裝置����。
14.根據(jù)權(quán)利要求13的計(jì)算機(jī)系統(tǒng)����,還包括用于響應(yīng)于創(chuàng)建所述自簽名的SSL證書(shū)和管理員的改變第一所述SSL證書(shū)的請(qǐng)求��,用所述自簽名的SSL證書(shū)代替所述第一SSL證書(shū)的裝置�。
15.一種用于更新服務(wù)器的SSL證書(shū)的方法,包括以下步驟檢測(cè)到服務(wù)器的名稱���、域名或IP地址何時(shí)已改變�;檢測(cè)到所述服務(wù)器在使用基于在所述改變之前適用的名稱�、域名或IP地址的SSL證書(shū);以及作為響應(yīng)�,通知管理員需要改變所述SSL證書(shū)以反映所述名稱、域名或IP地址的所述改變��;
16.根據(jù)權(quán)利要求15的方法���,還包括響應(yīng)于所述管理員的自動(dòng)創(chuàng)建新的SSL證書(shū)簽名請(qǐng)求的請(qǐng)求�,自動(dòng)創(chuàng)建所述新的SSL證書(shū)簽名請(qǐng)求�,所述新的SSL證書(shū)簽名請(qǐng)求是可被發(fā)送給SSL證書(shū)管理機(jī)構(gòu)的表單。
17.根據(jù)權(quán)利要求16的方法��,還包括響應(yīng)于將所述新SSL證書(shū)簽名請(qǐng)求發(fā)送給所述SSL證書(shū)管理機(jī)構(gòu)的請(qǐng)求,將所述新的SSL證書(shū)簽名請(qǐng)求發(fā)送給所述SSL證書(shū)管理機(jī)構(gòu)�。
18.根據(jù)權(quán)利要求17的方法,還包括響應(yīng)于接收到來(lái)自所述SSL證書(shū)管理機(jī)構(gòu)的新的SSL證書(shū)和管理員的改變第一所述SSL證書(shū)的請(qǐng)求����,用所述新的SSL證書(shū)代替所述第一SSL證書(shū)���。
19.根據(jù)權(quán)利要求17的方法�,還包括詢問(wèn)所述管理員����,所述管理員是否要使用反映所述服務(wù)器的所述名稱、域名或IP地址的所述改變的新的自簽名SSL證書(shū)����,直到從所述SSL證書(shū)管理機(jī)構(gòu)接收到由所述SSL證書(shū)管理機(jī)構(gòu)簽名的所述新SSL證書(shū),并且如果這樣的話�����,生成所述新的SSL自簽名證書(shū)�。
20.根據(jù)權(quán)利要求15的方法,還包括響應(yīng)于所述管理員的創(chuàng)建自簽名的SSL證書(shū)的請(qǐng)求���,自動(dòng)創(chuàng)建自簽名的SSL證書(shū)�����。
21.根據(jù)權(quán)利要求20的方法����,還包括響應(yīng)于創(chuàng)建所述自簽名的SSL證書(shū)和管理員的改變第一所述SSL證書(shū)的請(qǐng)求,用所述自簽名的SSL證書(shū)代替所述第一SSL證書(shū)�����。
全文摘要
一種用于更新服務(wù)器的SSL證書(shū)的系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品�。第一程序指令檢測(cè)服務(wù)器名稱、域名或IP地址已改變�,和服務(wù)器使用基于改變之前的名稱、域名或IP地址的SSL證書(shū)�,并通知管理員,需要改變SSL證書(shū)以反映此改變���。第二程序指令響應(yīng)管理員請(qǐng)求���,自動(dòng)創(chuàng)建新的SSL證書(shū)簽名請(qǐng)求。第三程序指令響應(yīng)管理員另一請(qǐng)求����,將其發(fā)送給SSL證書(shū)管理機(jī)構(gòu)�����。第四程序指令響應(yīng)接收到來(lái)自SSL證書(shū)管理機(jī)構(gòu)的新SSL證書(shū)和管理員另一請(qǐng)求��,用其代替現(xiàn)有SSL證書(shū)���。第四程序指令詢問(wèn)管理員�,是否要使用反映所述改變的新的自簽名SSL證書(shū),直到接收到SSL證書(shū)管理機(jī)構(gòu)簽名的新SSL證書(shū)��,并且如果是����,生成新的SSL自簽名證書(shū)。其他程序指令響應(yīng)管理員請(qǐng)求��,創(chuàng)建自簽名SSL證書(shū)��。并用它代替現(xiàn)有SSL證書(shū)�。
文檔編號(hào)H04L12/24GK1756193SQ20051010559
公開(kāi)日2006年4月5日 申請(qǐng)日期2005年9月28日 優(yōu)先權(quán)日2004年9月30日
發(fā)明者P·J·卡拉漢, J·P·埃內(nèi)西, S·R·尼科爾斯, K·N·施羅德 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司