用于自动鉴定,处理和发布数字证书的方法和系统

用于自动鉴定，处理和发布数字证书的方法和系统

参照相关申请

[0001]本申请要求于2001年10月12日申请的美国临时专利申请第 60/328,766号的优先权，该申请中所公布的内容在此被合并引用。本专 利文档中所公布的一部分内容包括了一些受版权保护的材料。其版权所 有者对于其材料被用于专利商标局的公共专利文件或记录中的任何传真 复印件，不存在异议，但除此之外，版权所有者无论如何都保留其版权。

发明的背景

[0002]本发明涉及的是用于鉴定，处理和发布基于服务器的数字证书 的方法和系统。

[0003]为了使信息在因特网上安全地传输，已经开发出了一些方法来 保护网页浏览器和网页服务器之间的连接。安全套接字协议层(SSL)是 一种协议(最近更名为TLS，但是大体是相同的协议)，被设计用来在一 个非安全的网络上，例如因特网上，进行通讯。SSL同使用数字证书的 服务器验证技术一起，保证了通讯的加密性和完整性。然而，一个SSL 连接既不能确定信息接受者的身份，而且一旦信息在网页服务器上被解 密，它也不能保护该信息。因此，确认服务器是合法的这一点很重要。

[0004]使用网页服务器数字证书为来访的浏览器做一个网页服务器的 身份验证，已经变为普遍使用的方法。当要进入一种安全话路状态时， 一个用户的浏览器将会访问网页服务器的数字证书。包含网页服务器的 公钥的该证书，被浏览器用来鉴定网站(或是说网页服务器)的身份； 并把网页服务器的公钥提供给网页浏览器，使得网页浏览器可以加密一 个话路密钥，用于传输数据地加密。由于只有网页服务器拥有私人密钥 来解密用户信息，这样就保证了信息的安全性。网页服务器证书由一个 证书主管部门发布。申请人的受让人GeoTrust公司，就是一个证书主管。 大部分网页浏览器配有许多已经安装的CA基本数字证书(包含公钥)， 因此这些网页浏览器将可以识别CA签名，并信任该证书。

[0005]一般来说，为了获得一个证书，网站的所有者，即申请者，将 发送一份证书签发申请(CSR)，或其等同物给一个证书主管(CA)，其 中包含了网页服务器的公钥，连同其他信息。而CA，当对申请者身份满 意时，将会发布一个包含有网页服务器公钥的证书，并使用CA的私有 密钥来签署该证书。审查网页服务器申请者的传统方法如图1中所示。 本发明指出了用于在网页服务器证书的发布中，自动鉴定网页服务器申 请者的方法和系统。

发明概要

[0006]一个用于自动鉴定，处理和发布数字证书的计算机系统和方法， 其中在对申请者的鉴定和授权中使用了网页服务器域控制审查。域控制 审查，依照本发明，包括申请者对核准者联络地址的强制选定，其中的 核准者联络地址，例如，email地址，已经基于域信息而被生成。一个申 请者向一个证书主管申请一个网页服务器证书，该证书主管接收到该申 请。证书主管生成多个核准者email地址，而申请者被要求从中选择一个 或多个核准者email地址。在另一方面，申请者可以提交一个或多个email 地址，如果这些email地址中的一个或多个也同时是证书主管所生成的核 准者email地址，那么证书主管可以接受申请者所提交的email地址中所 匹配的那些。证书主管使用被选中的一个或多个email地址联络核准者， 并申请核准者批准证书。如果批准了，证书主管接受申请，生成并签署 证书，而签署的证书被发送给申请者。

附图的简要说明

[0007]图1显示了传统审查方法的一个示例。

[0008]图2显示了本发明的审查方法的一个优选实施例，即，QuickSSL 审查方法。

[0009]图3a和3b显示了依照本发明的一个实施例，一个初始 QuickSSL高级版(Initial QuickSSL Premium)的注册页面。

[0010]图4显示了依照本发明的一个CSR重阅和确认页面。

[0011]图5a和5b显示了依照本发明的一个实施例中，一个”定单联络” 信息页面。

[0012]图6显示了依照本发明的一个实例中，一个核准选择页面。

[0013]图7显示了依照本发明的一个实施例中的一个付费页面。

[0014]图8a和8b显示了依照本发明的一个实施例中，一个定单汇总 和申请者(订户)确认页面。

[0015]图9显示了依照本发明的一个实施例中的一个确认页面。

[0016]图10显示了依照本发明的一个实施例中的一个请求者(申请 人)确认email。

[0017]图11显示了依照本发明的一个实施例中的一个核准者email。

[0018]图12显示了依照本发明的一个实施例中的一个核准者重阅和 确认页面。

[0019]图13显示了依照本发明的一个实施例中的一个核准者确认页 面。

[0020]图14a和14b显示了依照本发明的一个实施例中，一个”履 行”email。

[0021]图15a和15b显示了依照本发明的第二个实施例中的一个初始 的证书定单页面

[0022]图16a，16b和16c显示了依照本发明的第二个实施例中的一个 注册表。

[0023]图17显示了依照本发明的第二个实施例的注册表，其中一个 CSR已经被粘贴到要求的域中。

[0024]图18a和18b显示了依照本发明的第二个实施例，在继续办理 之前，注册表单和其他页面是如何按照一种形式实现交流和自动修正， 如何要求申请者修正错误，以及如何添加被遗漏的必要信息。

[0025]图19a，19b，19c和19d显示了依照本发明的第二个实施例中， 注册信息的确认和”订户协议”的处理。

[0026]图20显示了依照本发明的第二个实例中，返回给申请者的自动 回复，该申请者已经正确递交了完整的证书申请。

[0027]图21显示了依照本发明的第二个实施例中，核准者接收到一个 版本的email，它请求批准来自于申请者(订户)的证书申请。

[0028]图22显示了依照本发明的第二个实施例中，核准者在批准或不 批准该证书申请的信息，条件和环境，以及核准者须同意的协议。

[0029]图23显示了依照本发明的第二个实施例中，一个证书申请得到 批准后的自动确认通知。

[0030]图24显示了依照本发明的第二个实施例中，在批准之后，通过 一个email发布的网页服务器证书。

[0031]图25显示了依照本发明的第二个实施例中，一个核准者不批准 的自动确认通知。

[0032]图26显示了依照本发明的第二个实施例中，一种预先规定的算 法。

[0033]图27显示了依照本发明的第二个实施例中，一种预先规定的体 系结构。

发明描述

[0034]参阅下面对应于附图的说明将能更好的理解本发明的各方面， 特点和优点。下面是一些本发明的首选实施例。很显然，对于内行而言， 先前仅用示例的方式进行的描述只可作为说明，而并非界限。在这个说 明中所揭示的所有特征，都可以被其他可选择的特征所替代，除非经过 特别声明，这些其它的特征必须服务于同一目地，及等价或相似的目地。 因此，所能预计到的基于其修改所得到的大量其它实例，都被包含在本 发明在这里所规定的范围以及其等价的范围之内。绝对条件术语的使用， 就像“将不....会将要”，“应该要，”“应该不，”“必须要，”“必须不”，并 不意味着对本发明的限制，因为在这里所揭示的实例仅作为仿效的范例。

[0035]这是一个关于如何将本发明应用于数字证书的自动鉴定，处理 和发布的说明。举个例子，SSL服务器证书，在这种情况下通过了一个 发布商的网站入口。这仅仅是本发明的许多可能的系统，处理流程和应 用中的一个。

第一个首选的实例

[0036]依照本发明，用于申请者身份鉴定的自动方法和系统可以被归 述为域控制审核，一个域控制审核的处理示例如图2所示。域控制审核 是种处理方法，用于检验一个申请者是否拥有一个核准者的批准，允许 其获取并安装一种产品。该核准者必须证明其对域的控制。这样，在本 发明中，核准者被同申请者区分开来。核准者是一个个体，他拥有域控 制权，并且有责任批准申请者向域控制审核产品(比如QuickSSL)的申 请。申请者是申请SSL证书的最终用户。在域控制审核定单中，申请者 从一个官方email地址清单中选择出核准者的email地址。

[0037]为启动申请程序，申请者填写一个包括证书签发申请(CSR)， 和定购联络信息的定单。见图3a，3b，4，5a和5b。证书签发申请(CSR) 是一般由网页服务器软件生成的信息块，提交给一个证书主管(CA)， 作为对一个SSL证书的回复。CSR提供给证书主管生成SSL数字证书所 必需的信息。当网页服务器生成CRS时，它实际上正在生成一个私钥和 公钥对。私钥保密，而公钥被捆绑在CSR中。CSR经过私钥的数字签署， 它向CA证明网页服务器拥有该私钥(叫做“持有证明”)。

[0038]接下来，一份可能的核准者email地址清单被呈交给申请者。 见图6。这份清单可以由结合域的相关信息而生成。下面提出的是三种可 以使用的地址类型。当然，依照本发明，有其它的方法来确定核准者的 email地址。在处理进程的这一步，在表单中所给出的可选择核准者email 地址(一个或多个核准者email地址)被限制在那些由发行者所选定的地 址范围之内，申请者不能够对其进行修改或修正。在这一页面(图6)上 所给出的可选择的核准者email地址不是由申请者生成的，或是由申请者 填入注册表单中的，因此申请者不能够通过将需要官方核准的证书发布 申请的email消息导向给申请者，或是一个未获授权的人，从而使核准处 理进程转向或“短路”。这给本发明的自动处理进程和系统提供的一个安 全要素。

[0039]在第一种类型中，系统从WhoIs系统获得技术和管理联络， WhoIs系统是一个由ICANN委任托管，由域注册商维护的数据库。在系 统不能确定人的确切身份的情况下，在某些场合，它将会列出所有的 email地址，例如，在响应消息中的e-mail地址可能是管理的，技术的， 付费的或其他email地址。

[0040]在第二种类型中，下列信箱名，即：admin，administrator， hostmaster，info，root，ssladmin，sysadmin，webmaster，或其他名称， 可以被预先添加到被申请证书的第2，3，4，……N部分域中。举个例子， 如果被申请的证书是“us.secure.geotrust”，那么依照本发明的这个实 施例的系统将会允许如下：admin@us.secure.geotrust； admin@secure.geotrust；和admin@geotrust作为上面列出的每一 个“信箱”。

[0041]在第三种类型中，“标准的”，固定的地址被送往CA的用户支 持部门(support@CA)，在那里他们将会基于个案分析来决定。例如， 将它发送给support@ca或support@geotrust。

[0042]申请者选择一个核准者email，重阅定单信息，同意订户协议并 完成定单，包括支付款项，而且能够重新审阅该定单。详见图6，7，8a 和8b。

[0043]一个e-mail被发送给管理和技术联络，确认收到定单，而核准 者e-mail被发送给核准者。见图9，10和11。在CA处，核准者收到嵌 有链接到批准站点的email，核准者审阅订单内容后，或者批准，或者拒 绝。见图11，12，和13。申请者经由email接收到数字证书(和/或其它实 现方法)。见图14a和14b。

第二个首选实施例

[0044]在这个实施例中，申请者或者是网页域名注册者，他将在站点 上接收并使用SSL服务器证书，或者是一个虚拟主机公司/因特网服务提 供商或其他为注册者代理的代理商，察看初始证书定单页面，并选择 “order now”。这样会给订户显示一个详细的说明页面，其中包括了技术 支持，以及同其他资源和说明的链结。要继续进行，申请者点击“apply now”，并被带入下个页面。见图15a和15b。

[0045]申请者添写一张注册表单，该表单提供了申请者联络和技术联 络的信息(包括email地址)，以备将来发布商进行通讯时使用。申请者 通过标准的电脑软件生成一个证书签发申请(CSR)，并将CSR的一份拷 贝粘贴在注册表单上指定的区域内，来申请SSL服务器证书。这个页面 和其他页面包含用于交易和处理的相关条件和情况(例如，参照可使用 证书操作规范)。要继续下去，申请者点击“submit”(提交)。见图16a，16b 和16c。如图17所示，在要求的区域中粘贴有一个CSR的注册表单。

[0046]在处理进程中注册表单和其他页面是交互式的并能够自动修 正，要求申请者在继续处理进程之前，修正错误并添加被遗漏的但又是 必需的信息。图18a和18b。

[0047]在提交了注册表单之后，申请者被要求确认从表单中所提取出 的基础信息要素，其中包括关于申请者服务器的完整合格的域名，组织， 组织单位，城市，州，和国家的信息，这些信息从申请者生成的CSR中 提取出来，并被粘贴在表单中。该数据在一个精确的表单中被呈交用于 核准，它将被自动插入到由本方法和本发明所生成的SSL服务器证书中。 见图19a，19b，19c和19d。

[0048]申请者还需要选择一个域名相关的官方人士(“核准者”)的 email地址，该人士将会被要求批准发布一个带有CSR中所包含的特定 数据元素的证书。见图19b，19c和19d。本方法的这个步骤中，在表单 中提供的可选择的一个或多个核准者email地址，被限制在由发布商所选 定的地址范围之内，并且不能够被申请者替换或修正。请注意在这一页 面上所给出的可选择的核准者email地址不是由申请者生成的，或是由申 请者填入注册表单中的，因此申请者不能够通过将需要官方核准的证书 发布申请的email消息导向给申请者，或是一个未获授权的人，从而使核 准处理进程转向或“短路”。这给本自动处理进程和发明提供了一个安全 要素。

[0049]核准者email地址可以按照不同的规则被生成或被选择，这些 规则可以以安全或其他为目的进行设计。可以通过自动和/或在线的处理 方法对它们进行选择，这些处理方法是本自动处理方法和发明的一部分， 或者可以通过离线的处理方法对它们进行选择。作为一个示例，核准者 email地址可以由下列数据和规则中的某些或全部组成：(1)对应于申请 者生成的数据或作出的选择，从发布商或第三方数据资源中自动动态生 成的元素。(2)从申请者提交的数据中动态和自动生成的元素，以及(3) 从离线或预设的发布商处或依照其他规则自动动态或静态生成的元素。 需要注意的是，另外还有即时消息或其他类似的电子通讯方法可以作为 本发明该方面的email技术的补充，或将其替代。

[0050]在这例中，如图19a，19b，19c和19d所示，对核准者email 地址的选择组合了所有三种特点。在这个示例中，在屏幕上显示的地址 是“billing@PHPWEBHOSTINGCOM”和 “support@PHPVWEB-HOSTING.COM”，它们是在官方注册处所列出关 于这个域名的官方联系email地址。在题头“Authorized Domain Name Administrators”下面左边栏中两个选项是通过查询并记录官方所列出的 email地址，实时自动动态生成的。这些email地址用于域名的管理联络 和技术联络。该域名被包含在从注册者处收到的证书签发申请(CSR) 之中。这些email地址注册用于在许多“WhoIs”域名注册(“官方email 地址”)中的一个域。该域名可以从CSR中的公用名中或CN中读出(使 用X.509格式)。

[0051]在另一个实施例中，被直接输入一个由申请者提交的注册表单， 和/或被包含在联络email地址中而输入一个由申请者提交的注册表单的 申请者域名，被拿来同由申请者提交的CSR的CN区域中的域名进行对 比。并且如果两个名字不匹配，申请即被拒绝。

[0052]在另一个实施例中，被包含在由申请者提交的CSR的CN区域 中的，申请者的O或OU名(组织和组织单位)，L(城市)，S(州或省 份)，和/或C(国家)信息，被拿来同由申请者提交的相应数据或其他数 据进行对比，如果两个名字不匹配，申请即被否决。仍然是在另一个实 施例中，同时使用了此两种对比处理方法。

[0053]这些自动动态的特征可以(1)提供附加的保护以防止欺诈行为 或错误，(2)帮助确定该CSR是仅由一个与域名相关联的授权者所核准 的，而其域名是证书的CN，并且(3)帮助确认该证书被递送给与域名 相关联的人，该域名是证书的CN。

[0054]该处理进程也可以包括一个通过因特网或其他通讯方式自动检 查任意公共或私人信息资源，其中包括发布商自身的资料或一个官方或 非官方第三方资源的数据，并紧接着进行一个比较和决定的处理进程(例 如，批准或拒决)，而且这种次级处理可以出现在注册及证书申请和发布 进程的任何时候。按照这种规则，在生成和交付证书时骗取或错误的将 证书发给错误方的几率大大减少了。在这种情况下，在申请者提交注册 表单并送入CSR之后，自动检查在CSR中所包含域名相关联的官方email 地址，并且使用通过一个第三方数据资源的检查而获得的信息，来修正 后来的注册页面。

[0055]其它的核准者email地址选项被包含在如图19b，19c和19d所 示的三个附加栏中。这些地址由发布商使用上述其它两个数据和规则资 源选出：(1)从申请者提交的数据中自动动态生成的要素；以及(2)从离 线或预设的发布商或其他规则中，自动动态或静态生成的要素。在这种 情况下，如图19b，19c和19d所示，在该三栏中所列出的核准者email 地址包括：(1)包含在CSR中的4级域名(即，从申请者提交的数据中 自动动态生成的要素；)以及(2)包含大多数域名常用官方email联系地 址的前缀(即，从离线或预设的发布商或其他规则中，自动动态或静态 生成的要素)。这些选择被提供出来，以防备万一申请者(它可能包括一 个虚拟主机提供商或因特网服务提供商，如上所述)希望从这些基于官 方域名注册信息动态而生成的核准者email地址中选择一个不同的核准 者email地址(举个例子，由于域名注册者已经将相关网站的维护和操作 委托给虚拟主机提供商或因特网服务提供商，所以它们作为域名注册者 的代理正在申请证书)。

[0056]在其它的情况中，核准者email地址的选择可以是以上所提到 的所有三种数据和规则资源的组合，或者其中任意组合，或是任意其它 相关来源。

[0057]如图19d所示，在这个实施例中，在继续处理进程之前，申请 者被要求同发布商达成一个申请者协议。点击“I Agree”进入下一步。

[0058]图20显示了一个返回给申请者的自动回复，该申请者已经正确 提交了完整的证书申请，并且该回复中还包括了将来通讯的说明。图21 显示了email的一种版本，它的信息说明核准者收到了来自于申请者的证 书申请的核准申请。它包含一个超链接，把核准者带到发布商的核准站 点。由于本发明拥有上面图19a，19b，19c和19d中所描述的特点，这 个消息和同一个核准页面的链接只能够被发送到一个由发布商使用所选 择的规则而提供的核准者email地址处去。

[0059]发行商的核准站点可以包含附加的信息，条款和先决条件，以 及要求核准者同意的协议，或者可以简单到只包含一个按钮，或其他构 件，使核准者批准或否决该证书申请。由于本发明拥有上面图19a，19b， 19c和19d中所描述的特点，该核准步骤只能够由一个与核准者email地 址相关联的个体来执行，该email地址是由发布商根据所选的规则而给出 的，从而加强了在证书发布处理过程中的可靠性和安全性。见图22。

[0060]如果核准者批准该申请，该核准者(和其他人，比如在原注册 表单中列出的其他联络人)接收到一个确认批准的自动提示信息。见图 23。由于本发明拥有上面图19a，19b，19c和19d中所描述的特点，这 个批准消息必须被发送给一个与核准者email地址相关联的个体，该 email地址是由发布商根据所选的规则而给出的，从而加强了在证书发布 处理过程中的可靠性和安全性。

[0061]如果核准者批准了该证书申请，发布商的证书主管自动动态的 生成证书，并将它通过email发送给核准者(和其他人，依照特定实施例 而定，例如在原注册表单中所列出的其他联络人)。见图24。

[0062]一个传输数字证书的自动消息样本如图24所示。该消息也可以 包含安装说明或说明的超链接。由于本发明拥有上面图19a，19b，19c 和19d中所描述的特点，这个证书传输消息的一份拷贝必须被发送给一 个与核准者email地址相关联的个体，该email地址是由发布商根据所选 的规则而给出的，从而加强了在证书发布处理过程中的可靠性和安全性。

[0063]如果核准者否决了该申请，该核准者(和其他人，例如在原注 册表单中列出的其他联络人)接收到一个确认否决的自动提示。见图25。 由于本发明拥有上面图19a，19b，19c和19d中所描述的特点，这个否 决消息必须被发送给一个与核准者email地址相关联的个体，该email地 址是由发布商根据所选的规则而给出的，从而加强了在证书发布处理过 程中的可靠性和安全性。在如图23，24和25所示的处理过程中，如果 核准者拒绝了该申请，他们在以后便不能再批准它。如果他们批准了它， 他们在以后便不能再拒绝该申请。其状态改变了。

附加的实施例

[0064]不同的处理进程特征：注册表单可以从申请者处要求付费信息 (例如，信用卡信息)，并且处理进程可以自动动态的检查付费核对，并 在核准者核准证书申请后收费。作更进一步的修改，通过自动付费处理 获得的信息可以被用来同注册表单和/或CSR中所包含的其他信息进行 比较和/或核对，并且可以基于特定的规则做出进一步的处理决定(例如： 接受或拒绝)。

[0065]现在已经描述过的发明的首选实施例，很显然，对于内行而言， 先前仅用示例的方式进行的描述只可作为说明，而并非界限。在这个说 明(包括附带的所有声明，摘要和图表)中所揭示的所有特征，都可以 被其他可选择的特征所替代，除非经过特别声明，这些其他的特征必须 服务于同一目地，及等价或相似的目地。因此，所能预计到的基于其修 改所得到的大量其他实例，都被包含在本发明在这里所规定的范围以及 其等价的范围之内。

[0066]例如，该项技术可以通过硬件或者软件，或者两者的组合来实 现。该项技术更适合在计算机程序中实现，该程序可在一个可编程计算 机上使用，该计算机包括一个处理器，一个处理器可读取的存储媒介(包 括暂存和非暂存的内存和/或存储元件)，至少一个输入设备，以及一个或 多个输出设备。程序代码用使用输入设备于输入数据，从而完成上述功 能并生成输出信息。输出信息被用于一个或多个输出设备。

[0067]每个程序优先使用一种高级或面向对象的编程语言来实现与一 个计算机系统的通讯，然而，如果希望的话，该程序也可以在汇编或机 器语言或其他计算机语言中实现。在任何情况下，这种语言可以是一种 编译性或解释性语言。

本发明的更多附加实施例

[0068]在本发明的另一个实施例中，申请者可以引入一个CA的合作 者来帮助申请者获得证书。该合作者可以执行不同级别的订单处理工作 流程。

[0069]可以在处理进程中添加一个电话核对步骤，在此步骤由一个计 算机程序打电话给证书申请者，或是核准者，并要求其输入在网页浏览 器上显示的某些信息。这样做的目的是收集另外一段核对的信息—电话 号码(附加于核准者email地址之外)，从而减少风险，增加安全性，同 时使得该进程成为快速自动的处理进程。接收电话者可能会被要求说些 什么，其内容将会被系统记录。如果需要的话(例如，通过法律强制执 行)，这份声音印记将会在以后被用于核对用户身份。再者至少，一份声 音印记可以进一步的防止欺诈行为。

[0070]例如，当申请者到达定单汇总页面，并按下确认时，一个新的 页面显示出来，上面有一个代码(PIN)和一些说明。申请者被要求准备 接收一个由指定号码(该号码先前已作为联络信息的一部分输入，或来 自一个法人数据注册商(DUNS或类似团体)，或来自WhoIs服务器数据， 或其他资源)打来的电话。申请者同意该要求，然后系统挂电话给他们， 并要求他们在电话中按提示输入PIN。申请者还被要求说出他们的名字 以及其他信息并被录音以备后用。电话系统把这个PIN回传给注册机， 在那里该数值被进行对照。如果成功，即系统已经校验出申请者使用了 正确的电话号码，这样就生成了一个较好的审查索引，用于以后到这 个人，并减少欺诈的危险。

[0080]如果核准者是被呼叫的个体(作为上文所述的申请者的对立 方)，电话可以在他们接收到他们的email地址，连结到核准者站点，重 阅完定单并按下核准按钮之后再打出。在此步骤系统将会打电话给他们 并进行验证。如果成功，系统之后将会发布证书。

[0081]本发明的另一个实施例也将使用法人注册资料。一个在公共注 册数据库中于每个定单/公司的的记录将会被生成，或是使用一个通用唯 一标识符来访问该记录，该标识中带有用户所透露的关于他们或他们公 司的信息—很像今天的DUNs号码(www.dnb)。这是当前我们所认 识到的，在传统审查中的一个重要方面。在这方面，公司被强烈推荐通 过自行汇报关于公司的某些信息而获取一个DUNs号码。这样，一个通 用唯一标识符将更适合用于根据某些附加的识别特征来追踪证书。

[0082]这个特征数据将可以被链接到和链接自证书上(证书上包含有 号码，或许还有数据的URL)，而且可能还被链接到CA上的其他地方。 如果用户愿意，他们能够选择这个被公布的数据。CA将会收集信息，发 送给知识库，生成或获得通用唯一号码，并把它包含在给用户的证书中。 当前用户需要在申请证书之前执行这个步骤，所以这是一个更快的，更 简单的处理进程。最后，如果用户已经拥有一个号码，他们可以在注册 期间输入它，而CS将会链接到那个以前注册的实体。

[0083]使用DNS服务器的所有权来校验域名控制。在存在一个CA合 作者作为申请者的网站主机的情况中，这样的服务通常包括输入并维护 DNS条目。这是一个在域名和服务器实际所处IP地址之间的映射。每个 由浏览器产生的网页连接都要在一个DNS服务器中查域名，获得IP 地址，并在之后连接到该IP地址。如果一个实体控制了这个域的DNS 服务器，那么它就控制了这个域。

[0084]如果一个域名证书申请来自于一个合作者(合作者A)，CA可 以进行一个DNS查询并到这个域的官方DNS服务器。CA可以把这个 通过我们为合作者A所注册的DNS清单做对比。如果它们匹配，CA能 够自动批准申请，生成证书，并e-mail至申请者，技术，账务和合作者 A所注册的联络处，或者发送一个核准email到之前合作者A注册的email 地址。如之前一样，也应该注意的是，其他方法，如即时消息或其他类似 的电子通讯方法可以作为本发明该方面的email技术的补充，或彻底将其 替代。

[0085]每个这样的计算机程序优先储存在一个存储媒介或设备(例如， CD-ROM，硬盘或磁盘)中，这些媒介或设备可以被一个一般或特殊用 途的可编程计算机读取，用来在存储媒介或设备被计算机读取时，来配 置和操作计算机，使之执行本文中所述的手续。系统也可以被认为是由 一个计算机可读取存储媒介实现的，其中的存储媒介的设计，使得一台 计算机可以按特定和预定的方式工作。为了用于说明，本发明被实物化 成系统设定，操作方法和产品或计算机可读取的媒介，例如软盘，常规 的硬盘，CD-ROM，闪存，固定性ROM，RAM和任意其他等价的计算 机存储设备。值得注意的是，系统，操作方法和产品在它们的配置和操 作细节上可能会千变万化，而并不需要脱离这里所提出的基本观念。