服务器证书发行系统和本人认证方法技术方案

本发明专利技术提供服务器证书发行系统和本人认证方法。能够实现能够确认作为证书发行的对象的Ｗｅｂ服务器的真实性、进一步提高安全性的服务器证书发行系统。本发明专利技术的服务器证书发行系统中，使用ＳＳＬ证书形式的测试证书进行本人认证。Ｗｅｂ服务器、通信服务器或负载均衡器对注册服务器（６）发送服务器证书发行请求。注册服务器对测试证书发行机构（８）请求测试证书的发行。测试证书发行服务器将已生成的测试证书发送至注册服务器。注册服务器将测试证书发送至对应的服务器，进行安装。注册服务器以ＳＳＬ协议访问服务器，验证ＳＳＬ协议的对话是否建立，只有在ＳＳＬ协议已建立的情况下，认定为服务器证书发行请求有效。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及自动进行从服务器证书的申请到下载的一系列处理的服务器证书发 行系统。进一步，本专利技术涉及在服务器证书发行系统中实施的本人认证方法。
技术介绍
为了安全地进行Web服务器与Web浏览器间的互联网通信，利用公钥基础设施 (PKI =Public Key Infrastructure)的SSL(Secure SocketLayer 安全套接层)被实用化。 在导入有SSL的通信系统中，使用从作为能够信赖的第三方机构的认证机构(认证组织 CA)发行的服务器证书(SSL证书)进行加密处理，因此能够防止欺骗、篡改、盗用等，能够确 保更为安全的互联网通信。认证机构在发行服务器证书时，服务器证书的发行请求者的同一性确认(本人确 认)十分重要，作为同一性确认的方法，利用域认证的服务器证书发行系统已被实用化(例 如参照专利文献1)。在该已知的本人确认方法中，在存在服务器证书的发行请求时，注册服 务器访问域注册机构的数据库(Who is信息)，该Web服务器与具有批准发行服务器证书的 权限的批准者取得联络，使用电话、e-mail等联络方法验证是否批准证书的发行请求，仅在 得到批准者的批准的情况下发行证书。专利文献1 日本特表2005-506737号公报在现有的利用域认证的本人确认方法中，关于证书的发行，基于Who is信息 对具有批准权限的人进行检索，基于检索出的批准者的批准进行本人确认。但是，在 Approver-Email方式的认证方法中，只能够得到具有批准权限的人的批准，并不能够确认 作为证书的发行对象的Web服务器的真实性，因此存在安全上的问题。此外，在利用E-mail 的本人确认中，潜伏有在E-mail被盗用等情况下发生安全上的问题的危险性。进一步，注 册机构必须访问域注册服务器的数据库并检索批准者，存在注册机构的本人确认操作复杂 的问题。而且，不得不利用电话等联系方法获得批准确认，在使证书的发行自动化的方面是 很大的妨碍。
技术实现思路
本专利技术的目的在于实现一种能够确认作为证书发行的对象的各种服务器的真实 性，进一步提高安全性的服务器证书发行系统。本专利技术的另一目的是，实现一种自动进行从服务器证书的发行申请到下载的一系 列处理的服务器证书发行系统。进一步，本专利技术的又一目的是，提供一种使用上述服务器证书发行系统的本人认 证方法。本专利技术的服务器证书发行系统包括注册服务器，其由注册机构管理，接收经由网 络从Web服务器、通信服务器或负载均衡器发送来的服务器证书发行请求，向发行机构发送签名请求文件；证书发行服务器，其由发行机构管理，接收经由网络从注册服务器发送来 的签名请求文件，进行数字签名而生成服务器证书，将已生成的服务器证书发送至上述注 册服务器；以及测试证书发行服务器，其由发行试验用的测试证书的测试证书发行机构管 理，接收经由网络从注册服务器发送来的测试证书发行请求，发行测试证书，该服务器证书 发行系统的特征在于上述Web服务器、通信服务器或负载均衡器具有生成包含自己的地址信息的服 务器证书发行请求的单元；将已生成的服务器证书发行请求经由网络发送至上述注册服务 器的单元；以及安装由上述测试证书发行服务器生成的、为了进行本人认证从注册服务器 发送来的测试证书的单元，上述注册服务器具有接收从上述Web服务器、通信服务器或负载均衡器发送来 的服务器证书发行请求的单元；根据服务器证书发行请求的接收，对上述测试证书发行服 务器发送测试证书发行请求的单元；接收由测试证书发行服务器生成的测试证书，将接收 到的测试证书发送至对应的Web服务器、通信服务器或负载均衡器的单元；对包含于上述 服务器证书发行请求的地址的Web服务器、通信服务器或负载均衡器以SSL协议进行访问， 验证安装在该服务器或负载均衡器中的测试证书的验证单元；以及将签名请求文件发送至 证书发行服务器的单元，上述测试证书发行服务器具有根据从注册服务器发送来的测试证书发行请求的 接收，生成公钥证书格式的测试证书的单元；以及将生成的测试证书发送至上述注册服务 器的单元，上述注册服务器，在访问包含在服务器证书发行请求的地址的Web服务器、通信 服务器或负载均衡器时，在SSL协议的对话被建立、并且包含在已发送的测试证书中的证 书信息与包含在已安装的测试证书中的证书信息一致的情况下，认定为上述服务器证书发 行请求有效。在本专利技术中，本人认证使用由测试证书发行机构生成的SSL证书形式的测试证书 进行。即，在从Web服务器、通信服务器或负载均衡器对注册服务器发出服务器证书的发 行请求时，注册服务器对测试证书发行服务器发送测试证书发行请求。测试证书发行服务 器使用包含在服务器证书发行请求中的公钥和通用名称或CSR生成SSL证书形式的测试证 书。生成的测试证书从测试证书发行服务器发送至注册服务器，从注册服务器向包含在证 书发行请求中的地址的服务器发送，安装测试证书。接着，注册服务器以SSL协议访问由包 含在服务器证书发行请求中的地址信息确定的服务器，验证是否建立了 SSL协议的对话。 即，为了安装测试证书，需要测试证书和与其对应的私钥。于是，在不存在对应的私钥的情 况下，即使以SSL协议访问在注册服务器与该服务器之间也不会建立SSL通信协议。由此， 在注册服务器访问该服务器时，在该服务器与注册服务器之间建立SSL协议的对话代表着 在由服务器证书发行请求确定的服务器中存在与测试证书对应的私钥。通过该验证，能够 确认作为证书的发行对象的服务器的真实性。进一步，也验证服务器证书的申请者对于该 服务器来说是否是具有管理权限的人。该结果是，能够比现有的域认证进行安全性更高的 本人认证。特别是，安装的测试证书是SSL证书的形式，因此能够达到验证操作以高安全性 环境为基础而进行的效果。进一步，在验证操作中，验证SSL对话是否建立，并且对比包含 在安装的测试证书中的证书信息与包含在发送的测试证书中的证书信息，因此，全部的操作通过处理电子数据而执行。结果是，本人认证的一系列处理能够在由注册服务器管理的 电脑系统中自动地进行。本专利技术的其它服务器证书发行系统包括注册服务器，其由注册机构管理，接收经 由网络从Web服务器、通信服务器或负载均衡器发送来的服务器证书发行请求，向发行机 构发送签名请求文件；以及证书发行服务器，其由发行机构管理，接收经由网络从注册服务 器发送来的签名请求文件，进行数字签名而生成服务器证书，将已生成的服务器证书发送 至上述注册服务器，该服务器证书发行系统的特征在于上述Web服务器、通信服务器或负载均衡器具有生成包含自己的地址信息的服 务器证书发行请求的单元；将已生成的服务器证书发行请求经由网络发送至上述注册服务 器的单元；以及安装为了进行本人认证从注册服务器发送来的测试证书的单元，上述注册服务器具有接收从上述Web服务器、通信服务器或负载均衡器发送来 的服务器证书发行请求的单元；根据服务器证书发行请求的接收，生成公钥证书的格式的 测试证书的单元；将已生成的测试证书发送至对应的Web服务器、通信服务器或负载均衡 器的单元；对包含于上述服务器证书发行请求中的地址的Web服务器、通信服务器或负载 均衡器以SSL协议进行访问，验证安装在该服务器或负载均衡器中的测试证书的验证单本文档来自技高网...

【技术保护点】
一种服务器证书发行系统，其包括：注册服务器，其由注册机构管理，接收经由网络从Ｗｅｂ服务器、通信服务器或负载均衡器发送来的服务器证书发行请求，向发行机构发送签名请求文件；证书发行服务器，其由发行机构管理，接收经由网络从注册服务器发送来的签名请求文件，进行数字签名而生成服务器证书，将已生成的服务器证书发送至所述注册服务器；以及测试证书发行服务器，其由发行试验用的测试证书的测试证书发行机构管理，接收经由网络从注册服务器发送来的测试证书发行请求，发行测试证书，该服务器证书发行系统的特征在于：所述Ｗｅｂ服务器、通信服务器或负载均衡器具有：生成包含自己的地址信息的服务器证书发行请求的单元；将已生成的服务器证书发行请求经由网络发送至所述注册服务器的单元；以及安装由所述测试证书发行服务器生成的、为了进行本人认证从注册服务器发送来的测试证书的单元，所述注册服务器具有：接收从所述Ｗｅｂ服务器、通信服务器或负载均衡器发送来的服务器证书发行请求的单元；根据服务器证书发行请求的接收，对所述测试证书发行服务器发送测试证书发行请求的单元；接收由测试证书发行服务器生成的测试证书，将接收到的测试证书发送至对应的Ｗｅｂ服务器、通信服务器或负载均衡器的单元；对包含于所述服务器证书发行请求的地址的Ｗｅｂ服务器、通信服务器或负载均衡器以ＳＳＬ协议进行访问，验证安装在该服务器或负载均衡器中的测试证书的验证单元；以及将签名请求文件发送至证书发行服务器的单元，所述测试证书发行服务器具有：根据从注册服务器发送来的测试证书发行请求的接收，生成公钥证书格式的测试证书的单元；以及将生成的测试证书发送至所述注册服务器的单元，所述注册服务器，在访问包含在服务器证书发行请求中的地址的Ｗｅｂ服务器、通信服务器或负载均衡器时，在ＳＳＬ协议的对话被建立、并且包含在已发送的测试证书中的证书信息与包含在已安装的测试证书中的证书信息一致的情况下，认定为所述服务器证书发行请求有效。...

【技术特征摘要】
【国外来华专利技术】JP 2008-8-27 2008-217732一种服务器证书发行系统，其包括注册服务器，其由注册机构管理，接收经由网络从Web服务器、通信服务器或负载均衡器发送来的服务器证书发行请求，向发行机构发送签名请求文件；证书发行服务器，其由发行机构管理，接收经由网络从注册服务器发送来的签名请求文件，进行数字签名而生成服务器证书，将已生成的服务器证书发送至所述注册服务器；以及测试证书发行服务器，其由发行试验用的测试证书的测试证书发行机构管理，接收经由网络从注册服务器发送来的测试证书发行请求，发行测试证书，该服务器证书发行系统的特征在于所述Web服务器、通信服务器或负载均衡器具有生成包含自己的地址信息的服务器证书发行请求的单元；将已生成的服务器证书发行请求经由网络发送至所述注册服务器的单元；以及安装由所述测试证书发行服务器生成的、为了进行本人认证从注册服务器发送来的测试证书的单元，所述注册服务器具有接收从所述Web服务器、通信服务器或负载均衡器发送来的服务器证书发行请求的单元；根据服务器证书发行请求的接收，对所述测试证书发行服务器发送测试证书发行请求的单元；接收由测试证书发行服务器生成的测试证书，将接收到的测试证书发送至对应的Web服务器、通信服务器或负载均衡器的单元；对包含于所述服务器证书发行请求的地址的Web服务器、通信服务器或负载均衡器以SSL协议进行访问，验证安装在该服务器或负载均衡器中的测试证书的验证单元；以及将签名请求文件发送至证书发行服务器的单元，所述测试证书发行服务器具有根据从注册服务器发送来的测试证书发行请求的接收，生成公钥证书格式的测试证书的单元；以及将生成的测试证书发送至所述注册服务器的单元，所述注册服务器，在访问包含在服务器证书发行请求中的地址的Web服务器、通信服务器或负载均衡器时，在SSL协议的对话被建立、并且包含在已发送的测试证书中的证书信息与包含在已安装的测试证书中的证书信息一致的情况下，认定为所述服务器证书发行请求有效。2.如权利要求1所述的服务器证书发行系统，其特征在于所述注册服务器在认定为服务器证书发行请求有效的情况下，将所述签名请求文件发 送至证书发行服务器。3.如权利要求1或2所述的服务器证书发行系统，其特征在于从所述注册服务器发送至测试证书发行服务器的测试证书发行请求包含签名请求文 件(CSR)，所述测试证书发行服务器对包含在接收到的测试证书发行请求中的CSR进行数字签 名，由此生成测试证书。4.如权利要求3所述的服务器证书发行系统，其特征在于所述Web服务器、通信服务器或负载均衡器还具有生成公钥和私钥的密钥对的单元； 以及生成包含已生成的公钥的CSR的单元，已生成的CSR包含在所述服务器证书发行请求中并发送至注册服务器，所述注册服务 器对所述测试证书发行服务器发送包含CSR的测试证书发行请求。5.如权利要求4所述的服务器证书发行系统，其特征在于所述Web服务器、通信服务器或负载均衡器具有主要进行Web和邮件的设定及管理的 控制面板；生成所述公钥和私钥的密钥对的单元、生成CSR的单元、生成服务器证书发行请 求的单元以及安装已发行的服务器证书的单元，被安装在所述控制面板中。6.如权利要求3所述的服务器证书发行系统，其特征在于所述注册服务器还具有生成公钥和私钥的密钥对的单元、生成包含已生成的公钥的 CSR的单元，将包含已生成的CSR的测试证书发行请求发送至测试证书发行服务器。7.如权利要求6所述的服务器证书发行系统，其特征在于所述注册服务器在接收到从测试证书发行服务器发送来的测试证书时，将接收到的测 试证书和生成的私钥一起发送至对应的Web服务器、通信服务器或负载均衡器，所述Web服务器、通信服务器或负载均衡器使用接收到的私钥来安装测试证书。8.如权利要求7所述的服务器证书发行系统，其特征在于所述服务器证书发行请求包含密码，所述注册服务器使用所述密码对测试证书和私钥 进行加密，将已生成的加密文件发送至对应的Web服务器、通信服务器或负载均衡器，所述 Web服务器、通信服务器或负载均衡器使用所述密码对接收到的加密文件进行解密，使用接 收到的私钥来安装测试证书。9.如权利要求1或2所述的服务器证书发行系统，其特征在于所述注册服务器具有用于生成测试证书的公钥和私钥的密钥对，该注册服务器根据服务器证书发行请求的接收，将包含测试证书生成用的公钥和通用 名称的测试证书发行请求发送至测试证书发行服务器，其中，该通用名称包含在服务器证 书发行请求中，测试证书发行服务器使用包含在接收到的测试证书发行请求中的公钥和通用名称来 生成测试证书，所述注册服务器根据测试证书的接收，将接收到的测试证书和对应的私钥发送至对应 的Web服务器、通信服务器或负载均衡器，接收到测试证书的Web服务器、通信服务器或负载均衡器，使用接收到的私钥来安装 测试证书。10.如权利要求1或2所述的服务器证书发行系统，其特征在于所述注册服务器还具有生成用于生成测试证书的公钥和私钥的密钥对的单元，该注册服务器根据服务器证书发行请求的接收生成密钥对，将包含已生成的公钥和包 含在服务器证书发行请求中的通用名称的测试证书发行请求发送至测试证书发行服务器，测试证书发行服务器使用接收到的测试证书发行请求中所包含的公钥和通用名称来 生成测试证书，所述注册服务器根据测试证书的接收，将接收到的测试证书和私钥发送至对应的Web 服务器、通信服务器或负载均衡器，接收到测试证书的Web服务器、通信服务器或负载均衡器，使用接收到的私钥来安装 测试证书。11.如权利要求1或2所述的服务器证书发行系统，其特征在于所述测试证书发行服务器具有生成用于生成测试证书的公钥和私钥的密钥对的单元， 使用已生成的公钥和包含在测试证书发行请求中的通用名称来生成测试证书，将已生成的测试证书和私钥发送至所述注册服务器，注册服务器根据测试证书的接收，将该测试证书和私钥发送至对应的Web服务器、通 信服务器或负载均衡器，接收到测试证书的Web服务器、通信服务器或均衡服务器使用接收到的私钥来安装测 试证书。12.如权利要求1 11中任一项所述的服务器证书发行系统，其特征在于所述Web服务器、通信服务器或负载均衡器具有删除已安装的测试证书的单元，在从 注册服务器接收到受理完成通知或错误处理的通知时，删除已安装的测试证书。13.如权利要求1 12中任一项所述的服务器证书发行系统，其特征在于所述Web服务器、通信服务器或负载均衡器具有对注册服务器询问证书的发行状况的 状态询问单元，以由注册服务器赋予的申请ID为密钥对注册服务器周期性地进行状态询 问。14.如权利要求13所述的服务器证书发行系统，其特征在于所述注册服务器还具有接收从证书发行服务器发送来的服务器证书的单元；将接收 到的服务器证书存储在下载区域的单元；对从所述Web服务器、通信服务器或负载均衡器 发送来的状态询问进行响应的单元；以及将存储在下载区域中的服务器证书下载至对应的 服务器或负载均衡器的下载单元，所述注册服务器在接收到所述状态询问时，确认对应的服务器证书是否存储在下载区 域中，在服务器证书已存储的情况下，作为对该状态询问的响应，将存储在下载区域的服务 器证书下载至对应的服务器，使从服务器证书的发行申请到已发行的服务器证书的下载的 处理作为一系列处理自动地进行。15.如权利要求1 14中任一项所述的服务器证书发行系统，其特征在于所述Web服务器、通信服务器或负载均衡器的管理者，经由终端和网络访问自己管理 的服务器，调出用于输入服务器证书的发行申请信息的输入画面，在输入画面中输入需要 的申请事项。16.如权利要求1 14中任一项所述的服务器证书发行系统，其特征在于所述Web服务器的管理被委托于托管提供者，在托管提供者被用户委托服务器证书的 申请时，受到委托的托管提供者访问对应的Web服务器，输入服务器证书的申请信息。17.一种服务器证书发行系统，其包括注册服务器，其由注册机构管理，接收经由网 络从Web服务器、通信服务器或负载均衡器发送来的服务器证书发行请求，向发行机构发 送签名请求文件；以及证书发行服务器，其由发行机构管理，接收经由网络从注册服务器发 送来的签名请求文件，进行数字签名而生成服务器证书，将已生成的服务器证书发送至所 述注册服务器，该服务器证书发行系统的特征在于所述Web服务器、通信服务器或负载均衡器具有生成包含自己的地址信息的服务器 证书发行请求的单元；将...

【专利技术属性】
技术研发人员：木户启介，中条一郎，
申请(专利权)人：环球标志株式会社，
类型：发明
国别省市：JP[日本]