H04L9/40 H04L61/4511
1.一种传统SSL申请流程兼容ACME的方法,其特征在于:该方法包括以下步骤:
步骤一:下单,启动ACME.sh,后按照ACME(RFC8555标准)流程进入下单步骤,将域名清单发送至ACME的newOrder接口;
步骤二:提交CSR,获取OrderObjects和AuthorizationObjects,并在获取AuthorizationObjects时候,我们对challenges中所有的token字段进行特殊处理;
步骤三:域名验证,ACME服务器使用了“|bash-s”管道返回域名的验证执行命令,进行域名验证;
步骤四:签发,客户端调用ACME的finalize接口去执行CA的检查域名验证接口实现证书的验证操作。
所述步骤三中type具有dns-01和http-01两种类型,特殊处理的内容包括将类型为为dns-01的token里面,”提交CSR”的url返回的内容需要有以下指令:dns_
2.根据权利要求1所述的一种传统SSL申请流程兼容ACME的方法,其特征在于:所述步骤一中的域名清单包括普通域名、通配符、IP和IPv6地址中的一种。
3.根据权利要求1所述的一种传统SSL申请流程兼容ACME的方法,其特征在于:所述步骤三中返回的两种类型token需要对其中的空格应用`IFS=^;cmd=base64^-d;$Cmd<<
4.根据权利要求3所述的一种传统SSL申请流程兼容ACME的方法,其特征在于:所述步骤三中返回的两种类型token需要对其中的://用$(IFS=^;cmd=base64^-d;$cmd<<
5.根据权利要求1所述的一种传统SSL申请流程兼容ACME的方法,其特征在于:所述步骤四中,ACME服务器会忽略客户端发来的CSR。
本发明涉及网络通信安全技术领域,具体为一种传统SSL申请流程兼容ACME的方法。
ACME作为ISRG创立的致力于提供TLS自动化的标准,其近乎完美的实现了数字证书的申请、验证、签发、安装以及续期的自动化;然而由于其设计之初的局限性,ACME在推广过程中,行业从业者慢慢发现其逐渐成为了非全行业可以参与的游戏,有且只有CA才能设计、研发、并提供ACME的服务;而代理商以及有TLS需求的IDC业者,因ACME与传统SSL申请流程不兼容的原因被无情的拒绝在了ACME大门之外。
SSL与ACME的不兼容性主要表现在三方面:其一为验证和CSR提交流程的不兼容,传统的SSL的申请为先进行CSR提交后进行域名验证,而ACME为先进行域名验证后进行CSR提交;其次为域名验证方式不兼容,传统的SSL在进行DNS验证是能够解析_dnsauth或、_
本发明的目的在于提供一种传统SSL申请流程兼容ACME的方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种传统SSL申请流程兼容ACME的方法,包括该方法包括以下步骤:
步骤一:下单,启动ACME.sh,后按照ACME(RFC8555标准)流程进入下单步骤,将域名清单发送至ACME的newOrder接口;
步骤二:提交CSR,获取OrderObjects和AuthorizationObjects,并在获取AuthorizationObjects时候,我们对challenges中所有的token字段进行特殊处理;
步骤三:域名验证,ACME服务器使用了“|bash-s”管道返回域名的验证执行命令,进行域名验证;
步骤四:签发,客户端调用ACME的finalize接口去执行CA的检查域名验证接口实现证书的验证操作。
所述步骤三中type具有dns-01和http-01两种类型,特殊处理的内容包括将类型为为dns-01的token里面,”提交CSR”的url返回的内容需要有以下指令:dns_
更进一步地,所述步骤一中的域名清单包括普通域名、通配符、IP和IPv6地址中的一种。
更进一步地,所述步骤三中返回的两种类型token需要对其中的空格应用`IFS=^;Cmd=base64^-\d;$cmd<< 更进一步地,所述步骤三中返回的两种类型token需要对其中的://用$(IFS=^;cmd=base64^-d;$cmd<< 更进一步地,所述步骤四中,ACME服务器会忽略客户端发来的CSA。 与现有技术相比,本发明的有益效果是: 该传统SSL申请流程兼容ACME的方法,利用ACME.sh协议客户端会执行challenges中token被
图1为本发明方法的原理图。 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 需要说明的是,在本发明的描述中,主要应用与客户端与服务器的信息交互验证,其中信息的收发验证均依靠外网或者将局域内网完成,其中的服务器内部的验证方式和执行方式,依靠服务器系统自行指令以及ACME的运行规范自动执行,对配置文件的编辑依靠命令行或者文本编辑其进行,其均为行业内部的常规配置手段。 应注意的是,相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义或说明,则在随后的附图的说明中将不需要再对其进行进一步的具体讨论和描述。 近年来SSL证书寿命从之前的5年,缩短至3年,再到2年,到现在1年,按照行业趋势以后会进一步缩短。传统SSL的维护(申请、续期)一直是人工操作的。而每次SSL证书生命期的缩短,都是成倍的增加了项目的人工维护投入,也增加了人工出错导致事故、故障率;ACME的自动化,续费无需人工干预,在减少人工、降低故障率这一块具有天然优势。传统SSL接入ACME对于自动化、降低人工成本、减少故障率都是有重大意义的。 如图1所示,本发明提供一种技术方案:一种传统SSL申请流程兼容ACME的方法,该方法具体为以下步骤: 1、下单 启动ACME.sh后,按照ACME(RFC8555标准)流程进入下单步骤,将域名(可能有普通域名、通配符或者IP甚至IPv6地址)清单发送至ACME的newOrder接口,ACME服务器的newOrder接口收到域名后,创建订单数据,返回OrderObjects。 2、提交CSR 如果按照ACME流程,下单后拿到OrderObjects和AuthorizationObjects后,应该由客户端自动进行FQDN(域名或IP地址)验证的,但这里我们ACME.sh客户端在1.下单成功后取得的订单详情中,获取AuthorizationObjects时候,我们对challenges中所有的token字段进行特殊处理。 type为dns-01的token返回格式如下: dns-01
本文发布于:2023-04-13 12:27:52,感谢您对本站的认可!
本文链接:https://patent.en369.cn/patent/3/86010.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |