一种数字证书自动化续期系统的制作方法

1.本发明涉及网络信息安全技术领域，具体涉及一种数字证书自动化续期系统。


背景技术：

2.https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。但由于let's encrypt免费的证书有效期只有三个月。随着企业业务越来越多，各子业务需要独立的一级域名，但大量的子域名在过期后需要做以下操作：
3.一、到数字证书认证机构申请证书续期；
4.二、将证书推送到web服务器、负载均衡、cdn服务等提供https站点的服务。
5.当企业维护几十甚至上百个子业务的一级域名时，维护大量的证书需要大量的人工成本，人工操作也存在失误的可能性。


技术实现要素：

6.针对现有技术中的缺陷，本发明提供的一种数字证书自动化续期系统，实现了证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本。
7.本发明提供的一种数字证书自动化续期系统，包括：证书管理模块、证书续期模块和证书推送模块，
8.所述证书管理模块用于存储证书信息和监控证书过期时间，在证书过期之前触发证书续期操作及证书推送操作；
9.所述证书续期模块用于自动完成证书的生成及续期操作；
10.所述证书推送模块用于将生成的证书自动推送到提供https站点的服务。
11.可选地，所述系统还包括到证书期预警模块，所述证书到期预警模块用于对无法自动完成证书的生成及续期操作的即将到期的证书进行预警。
12.可选地，所述证书续期模块包括证书签发单元，所述证书签发单元通过数字证书认证机构接口提交证书申请，通过云厂商接口自动添加所申请域名的认证解析，查询所申请域名并等待域名生效，通过数字证书认证机构接口确认申请操作和下载新生成的证书文件，通过云厂商接口清理所述认证解析。
13.可选地，所述证书信息包括证书续期相关域名存放账户和证书推送相关的服务信息。
14.可选地，所述服务包括负载均衡和cdn网络加速服务。
15.可选地，所述系统还包括ssh免密登录配置模块，所述ssh免密登录配置模块用于配置linux系统用户的公钥，所述公钥用于通过openssh登录服务器。
16.可选地，所述系统还包括ssh入口脚本配置模块，所述ssh入口脚本配置模块用于配置用户登录服务器的入口，通过所述入口直接进入目标容器的shell环境。
17.可选地，所述系统还包括入口修改工具模块，所述入口修改工具模块用于改变用
户登录服务器进入目标容器入口。
18.本发明的有益效果：
19.本发明实施例提供的一种数字证书自动化续期系统，实现了证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本。
20.本发明另一实施例提供的一种数字证书自动化续期系统，实现了证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本，设置的证书到期预警模块可以在证书无法正常续期时，将证书即将过期域名通过短信或第三方通讯工具提醒运营人员进行人工干预。
21.本发明另一实施例提供的一种数字证书自动化续期系统，实现了证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本。设置的证书到期预警模块可以在证书无法正常续期时，将证书即将过期域名通过短信或第三方通讯工具提醒运营人员进行人工干预。在进行人工干预时，技术开发人员在项目部署后台可以得到一串系统生成的登录命令，将其复制到终端执行即可进入目标容器，大大提高了操作效率。
附图说明
22.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。
23.图1示出了本发明第一实施例所提供的一种数字证书自动化续期系统的结构示意图。
24.图2示出了本发明第二实施例所提供的一种数字证书自动化续期系统的结构示意图。
25.图3示出了本发明第三实施例所提供的一种数字证书自动化续期系统的结构示意图。
26.图4示出了第三实施例中配置登录用户界面图；
27.图5示出了第三实施例中配置登录容器ssh免密入口的界面图。
具体实施方式
28.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
29.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
30.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
31.还应当进一步理解，本发明说明书和所附权利要求书中使用的术语“和/或”是指
相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
32.如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
[0033]
需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
[0034]
如图1所示，示出了本发明第一实施例所提供的一种数字证书自动化续期系统的结构示意图，该系统包括：证书管理模块、证书续期模块和证书推送模块，证书管理模块用于存储证书信息和监控证书过期时间，在证书过期之前触发证书续期操作及证书推送操作，证书续期模块用于自动完成证书的生成及续期操作，证书推送模块用于将生成的证书自动推送到提供https站点的服务。
[0035]
其中，证书管理模块主要通过数据库存储证书信息，证书信息包括证书续期相关的域名存放账户、证书推送各相关的服务信息等；同时定期监控证书过期时间，提前15天(可设定)触发证书的续期及证书推送操作。
[0036]
证书管理模块通过nodejs开发的管理后台实现，支持将域名证书信息录入到数据库里，同时可以在页面以列表方式呈现及查看。
[0037]
certbot是let’s encrypt官方推荐的获取证书的客户端，获取免费的let’s encrypt证书。let's encrypt是一个于2015年三季度推出的数字证书认证机构，旨在以自动化流程消除手动创建和安装证书的复杂流程，并推广使万维网服务器的加密连接无所不在，为安全网站提供免费的传输层安全性协议(tls)证书。certbot是支持所有unix内核的操作系统的。通过certbot及开发其每个云平台的验证、清理的勾子插件，可以在linux服务器的命令行完成完整的证书生成及续期操作。同时再通过nodejs的系统调用方法操作certbot自动化执行。
[0038]
每个云平台都会有web服务器、负载均衡、cdn网络加速等服务，同时云平台提供了对应服务的证书配置接口。在证书生成续期后，证书推送模块将自动化生成的证书推送到相关的各服务，将从证书管理模块查找到之前设置好的域名相关联服务，再逐一通过平台对应服务的证书配置接口，将生成的证书推送到平台服务上。
[0039]
证书续期模块包括证书签发单元，所述证书签发单元通过数字证书认证机构接口提交证书申请，通过云厂商接口自动添加所申请域名的认证解析，查询所申请域名并等待域名生效，通过数字证书认证机构接口确认申请操作和下载新生成的证书文件，通过云厂商接口清理认证解析。
[0040]
基于let's encrypt这个数字证书认证机构进行自动化证书申请的流程，通过接口的方式让证书续期无需人工干预，流程如下：
[0041]
1、通过数字证书认证机构接口提交证书申请；
[0042]
2、通过云厂商接口自动添加所申请域名的认证解析；
[0043]
3、查询所申请域名并等待其生效；
[0044]
4、通过数字证书认证机构接口确认申请；
[0045]
5、通过数字证书认证机构接口下载新生成的证书文件；
[0046]
6、通过云厂商接口清理第2步添加的域名的认证解析。
[0047]
本发明实施例提供的一种数字证书自动化续期系统，实现证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本。
[0048]
在自动化续期操作过程中，可能因为第三方更新接口或网络异常等不可抗力因素，导致无法自动化完成证书续期及后续相关操作。如图2所示，示出了本发明第二实施例提供的一种数字证书自动化续期系统的结构示意图，与第一实施例不同之处在于，系统还包括证书到期预警模块，证书到期预警模块用于对无法自动完成证书的生成及续期操作的即将到期的证书进行预警。设置证书到期预警模块可以在证书无法正常续期时，将证书即将过期域名通过短信或第三方通讯工具提醒运营人员进行人工干预。通过设置到期预警模块对即将过期证书的预警，防止自动化流程异常没有正常申请部署证书时可以进行人工干预。
[0049]
本发明实施例提供的一种数字证书自动化续期系统，实现证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本，设置的证书到期预警模块可以在证书无法正常续期时，将证书即将过期域名通过短信或第三方通讯工具提醒运营人员进行人工干预。
[0050]
通常技术开发人员将代码运行在kubernetes集群后，在一些特定的场景需要登录到集群容器内部调试程序或者查看异常，通常的做法有以下几种：
[0051]
一、通过机房外网入口登录，包含以下步骤：
[0052]
1)通过外网ip登录到机房内跳板机；
[0053]
2)通过内网ip登录到kubernetes集群master节点；
[0054]
3)通过集群的kubectl控制命令登入到目标容器。
[0055]
二、通过kubernetes管理后台登录，包含以下步骤：
[0056]
1)登录管理后台，进入kubernetes控制面板；
[0057]
2)找到容器所在的控制面板；
[0058]
3)点击对应容器的“连接终端”按钮，在新打开的页面登录容器内部。
[0059]
其中，做法一的缺点为需要维护跳板机的员工账户，对技术开发人员开放的权限过大，步骤较复杂。做法二的缺点在于web终端相比ssh终端体验差，技术开发人员需要知道项目部署对应在kubernetes集群中的细节。
[0060]
如图3所示，示出了本发明第三实施例提供的一种数字证书自动化续期系统的结构示意图。为了解决上述技术开发账户的维护管理问题，数字证书自动化续期系统的环境容器包括一个openssh服务和一个kubernetes命令行控制器kubectl。openssh是使用ssh协议远程登录的主要连接工具。它对所有流量进行加密，以消除窃听、连接劫持和其他攻击。此外，openssh还提供了一套大型的安全隧道功能、几种身份验证方法和复杂的配置选项。kubernetes也称为k8s，是一个用于自动化部署、扩展和管理容器化应用程序的开源系统。kubectl是使用kubernetes api与kubernetes集群的控制面进行通信的命令行工具。本发明第三实施例与第二实施例不同之处在于，数字证书自动化续期系统还设置了ssh免密登录配置模块，ssh免密登录配置模块用于配置linux系统用户的公钥，公钥用于通过openssh登录服务器。系统还设置了ssh入口脚本配置模块，ssh入口脚本配置模块用于配置用户登录服务器的入口，通过入口直接进入目标容器的shell环境。采用ssh免密登录方案，结合企
业管理系统解决在上述背景下技术开发账户的维护管理问题。系统还设置了入口修改工具模块，入口修改工具模块用于改变用户登录服务器进入目标容器入口。kubernetes命令行控制器kubectl是改变用户登录服务器进入容器入口的工具。采用ssh与kubernetes脚本结合，实现一个命令快速进入目标群集容器中，提高技术开发人员在紧急情况下处理故障的速度。
[0061]
如图4所示，示出了配置登录用户界面图。系统管理员配置登录用户的步骤包括：
[0062]
1)创建登录用户，使用linux命令行adduser命令来创建，并指定入口脚本为第三步的脚本目录；
[0063]
2)配置免密登录，将用户公钥写入openssh服务默认的配置目录；
[0064]
3)配置登录脚本，该脚本获取ssh登录命令传入的目标容器识别参数，生成对应的目标容器登录指令并执行，使得用户登录服务器后直接进入目标容器。
[0065]
如图5所示，示出了配置登录容器ssh免密入口的界面图。用户点击ssh免密登录入口，点击查看后系统生成登录目标容器的终端命令，将其复制到终端即可进入目标容器。
[0066]
本发明实施例提供的一种数字证书自动化续期系统，实现了证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本。设置的证书到期预警模块可以在证书无法正常续期时，将证书即将过期域名通过短信或第三方通讯工具提醒运营人员进行人工干预。在进行人工干预时，技术开发人员在项目部署后台可以得到一串系统生成的登录命令，将其复制到终端执行即可进入目标容器，大大提高了操作效率。
[0067]
最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

技术特征：
1.一种数字证书自动化续期系统，其特征在于，包括：证书管理模块、证书续期模块和证书推送模块，所述证书管理模块用于存储证书信息和监控证书过期时间，在证书过期之前触发证书续期操作及证书推送操作；所述证书续期模块用于自动完成证书的生成及续期操作；所述证书推送模块用于将生成的证书自动推送到提供https站点的服务。2.如权利要求1所述的数字证书自动化续期系统，其特征在于，所述系统还包括证书到期预警模块，所述证书到期预警模块用于对无法自动完成证书的生成及续期操作的即将到期的证书进行预警。3.如权利要求1所述的数字证书自动化续期系统，其特征在于，所述证书续期模块包括证书签发单元，所述证书签发单元通过数字证书认证机构接口提交证书申请，通过云厂商接口自动添加所申请域名的认证解析，查询所申请域名并等待域名生效，通过数字证书认证机构接口确认申请操作和下载新生成的证书文件，通过云厂商接口清理所述认证解析。4.如权利要求1所述的数字证书自动化续期系统，其特征在于，所述证书信息包括证书续期相关域名存放账户和证书推送相关的服务信息。5.如权利要求1所述的数字证书自动化续期系统，其特征在于，所述服务包括负载均衡和cdn网络加速服务。6.如权利要求1-5任一项所述的数字证书自动化续期系统，其特征在于，所述系统还包括ssh免密登录配置模块，所述ssh免密登录配置模块用于配置linux系统用户的公钥，所述公钥用于通过openssh登录服务器。7.如权利要求6所述的数字证书自动化续期系统，其特征在于，所述系统还包括ssh入口脚本配置模块，所述ssh入口脚本配置模块用于配置用户登录服务器的入口，通过所述入口直接进入目标容器的shell环境。8.如权利要求7所述的数字证书自动化续期系统，其特征在于，所述系统还包括入口修改工具模块，所述入口修改工具模块用于改变用户登录服务器进入目标容器入口。

技术总结
本发明公开了一种数字证书自动化续期系统，包括：证书管理模块、证书续期模块和证书推送模块，所述证书管理模块用于存储证书信息和监控证书过期时间，在证书过期之前触发证书续期操作及证书推送操作；所述证书续期模块用于自动完成证书的生成及续期操作；所述证书推送模块用于将生成的证书自动推送到提供HTTPS站点的服务。该系统实现了证书续期自动化，无需人工干预证书续期的相关操作，降低人工维护成本。本。本。


技术研发人员：汪洋 刘志华
受保护的技术使用者：广州唯彩会网络科技有限公司
技术研发日：2023.03.13
技术公布日：2023/7/19