用于在计算服务环境中供应数字证书的方法可包括针对使用和/或控制计算服务环境中的网络资源授权客户实体。在完成所述授权时,可将数字证书发布给所述客户实体。所述数字证书可与所述网络资源相关联,并且可被发布持续有限的持续时间段。可监视由所述客户实体对所述网络资源的所述使用和/或控制。可根据所述客户实体是否仍在使用和/或控制所述计算服务环境中的网络资源调节所述数字证书的重新发布。如果所述客户实体仍在使用和/或控制所述多租户环境中的所述网络资源,则可自动地重新发布所述数字证书持续另一有限的持续时间段。所述自动地重新发布可在没有自所述客户实体接收证书重新发布请求的情况下发生。
【技术实现步骤摘要】
【国外来华专利技术】背景云计算为可利用于远程位置中并且可通过如因特网的网络访问的计算资源(硬件和软件)的使用。在具有许多计算装置的计算环境(如具有许多服务器计算机的虚拟服务器或云计算环境)中,计算资源的使用可提供若干优点包括成本优点和/或快速适应以改变计算资源需求的能力。另外,云计算环境中的安全通信为重要的考虑因素,因为所述安全通信确保通信方的认证以及通信自身的完整性和安全性。然而,安全通信的设置对于云计算环境中的通信方来说可为困难的任务。例如,云计算环境中的实体认证可基于数字证书,所述数字证书可能必须被发布到多方。数字证书通常以费用作为交换并且在证书机构(CA)已完成广泛的并且耗时的认证过程之后由CA发布。一旦发布,数字证书可在没有与CA的任何额外交互(或由CA进行的认证)的情况下加以使用,这在扩展验证证书的情况下可为长时间段。因此,不仅获得数字证书的过程为耗时的,而且发布用于扩展的时间段的证书也可能导致证书的未经授权的使用,从而在云计算环境中引起安全缺口。附图简述将参照附图描述根据本公开的各个实施方案,在附图中:图1为根据本公开的实施方案的支持数字证书的供应的示例性网络环境的图解。图2至图4为图示根据本公开的各种实施方案的在网络环境中将数字证书供应给客户实体的流程图。图5为展示根据本公开的示例性实施方案的使用数字证书服务在多租户环境中运行的多个虚拟机实例的示例性系统图。图6展示示例性系统的进一步细节,所述示例性系统包括与控制平面相关联的多个管理部件,所述多个管理部件可用来根据一个实施方案管理数字证书服务。图7展示多个主机计算机、路由器和交换机的示例——所述多个主机计算机、路由器和交换机为用于运行虚拟机实例的硬件资产——其中主机计算机具有可根据一个实施方案配置的数字证书有关的功能。图8为根据本公开的实施方案的用于在计算服务环境中供应数字证书的示例性方法的流程图。图9为根据本公开的实施方案的用于在计算服务环境中供应数字证书的另一示例性方法的流程图。图10为根据本公开的实施方案的用于供应数字证书的又一示例性方法的流程图。图11描绘可实行所描述的创新的合适的计算环境的一般化示例。详述虚拟机图像含有操作系统(例如,Linux)和需要来在虚拟环境中发动虚拟机的其他数据。虚拟机图像类似于物理计算机的磁盘卷,并且可包括文件系统、操作系统和需要来作为机器启动的其他部件。为了发动虚拟机,硬件需要被选择。硬件选择可通过实例类型来完成,所述实例类型可允许各种不同大小的存储器、CPU容量、I/O性能等。虚拟机图像和实例类型的组合可用来创建可在云计算资源(如多租户网络环境中的主机服务器计算机)上发动的“实例”或虚拟机。以下描述针对支持如云计算多租户网络环境或另一网络环境(例如,具有计算服务提供者的计算服务提供者环境)的网络环境中的数字证书的供应的技术和解决方案。客户实体可通过将证书签名请求(CSR)传达至证书机构(CA)来请求数字证书。CA可进行请求客户实体和客户实体正寻求断言并变得由CA授权的信息(例如,客户实体的域名、请求证书的客户实体的官员的身份、客户实体地址、客户实体的非对称公共私有密钥对的公共密钥的真实性等)的身份和其他验证。在这点上,CA可需要域的所有权和域所有者(例如,客户实体)的身份以及请求证书的公司办公室(或雇员)的身份的证据。一旦CA已完成认证过程,CA可发布使请求客户实体与公共密钥相关联的数字证书。数字证书也由发布CA(例如,使用CA的私有密钥)密码地签名,并且可通过CA的阶层追踪至已知并且信赖的CA。通常,数字证书具有期满日期,在该时刻处,客户实体可需要再次申请重新发布证书(并且为重新发布证书支付费用)。在发布之后,数字证书可在云计算多租户网络环境(以及其他基于因特网的通信)中用来建立客户实体的身份和/或与客户实体相关联的一个或多个网络站点或其他网络资源或服务的真实性。数字证书发布和管理的灵活性和可靠性可通过例如将CA实行为多租户网络环境的部分来改进。另外,数字证书可被自动地供应为与正由客户实体使用的一个或多个网络资源相关联的有限持续时间的数字证书。在这点上,有限持续时间的数字证书可被自动地重新发布给客户实体,只要客户实体继续使用、支付和/或控制云计算多租户网络环境内的至少一个网络资源(例如,虚拟机、数据库、网络有关的服务等)。如本文所使用,术语“供应数字证书”意味向客户启用和提供数字证书有关的服务,这可包括授权客户以具有数字证书、将数字证书发布给客户和在发布之后管理数字证书(例如,更新、重新发布和/或撤销数字证书)。图1为根据本公开的实施方案的支持数字证书的供应的示例性网络环境的图解。参考图1,网络环境100可包括客户实体102和计算服务提供者110。计算服务提供者110可为例如云提供者,所述云提供者能够将计算和存储容量作为服务递送给如客户实体102的终端接收者(例如,租户或客户)的团体。计算服务提供者110可包括资源监视器112、一个或多个网络资源114a、……、114n、证书机构(CA)118和证书存储区116。CA 118可包括合适的电路、逻辑和/或代码,并且可实行在计算服务提供者110内以处置数字证书的发布和管理(例如,重新发布和/或撤销)。网络资源114a、……、114n可包括与计算服务提供者110相关联的一个或多个网络资源。例如,网络资源114a、……、114n可包括以下各者中一个或多个:由代表客户实体102(例如,由客户实体操纵的客户实体102)的计算服务提供者110发动的虚拟机、由客户实体使用运行数据库并且由提供者110管理的资源管理(操纵)的数据库和/或由计算服务提供者110提供(并且管理)的另一网络有关的服务(例如,负载平衡)。虽然CA 118实行为计算机服务提供者110的部分,但在其他实行方案中提供者110可使用与提供者110分离地实行的CA的服务(如由图1中的短划线所指示)。资源监视器112可包括合适的电路、逻辑和/或代码,并且可操作来通过通信路径120监视由客户实体102对网络资源114a、……、114n中一个或多个的使用/控制。例如,资源监视器可操作来监视客户实体102是否支付、使用和/或控制网络资源。如本文所使用,关于客户实体102的术语“控制网络资源”可意味,客户实体102为网络资源的管理人(例如,网络资源是使用客户实体与提供者110的账户发动,并且客户实体负责改变关于网络资源的设定和其他操纵功能)。使用或控制网络资源不一定意味客户实体102为所述网络资源支付。另外,使用网络资源不一定意味客户实体102正在控制网络资源。资源监视器112可生成指示122,所述指示可包括“用过的资源”指示、“已支付的资源”指示和/或“受控制的资源”指示。指示122可被传达给CA 118。在示例性实施方案中,CA 118可在自资源监视器112接收客户实体正在使用、支付和/或控制网络资源114a、……、114n中一个或多个的指示122时调节数字证书的发布。一旦发布,数字证书(例如,117)可被存储在一个或多个网络资源114中,存储在证书存储区116中,和/或被传达给客户实体102。数字证书117随后可被传达给第三方109(例如,浏览器),以用于使用第三方109来认证客本文档来自技高网...
【技术保护点】
一种用于在计算服务环境中供应数字证书的方法,所述方法包括:在所述计算服务环境中使用与客户实体相关联的网络资源,其中所述客户实体拥有关于所述网络资源发布的数字证书;确定所述网络资源是否仍与所述客户实体相关联;以及如果所述网络资源仍与所述客户实体相关联,则重新发布所述数字证书以用于由所述客户实体使用有限的持续时间。
【技术特征摘要】
【国外来华专利技术】2014.02.25 US 14/189,2621.一种用于在计算服务环境中供应数字证书的方法,所述方法包括:在所述计算服务环境中使用与客户实体相关联的网络资源,其中所述客户实体拥有关于所述网络资源发布的数字证书;确定所述网络资源是否仍与所述客户实体相关联;以及如果所述网络资源仍与所述客户实体相关联,则重新发布所述数字证书以用于由所述客户实体使用有限的持续时间。2.根据权利要求1所述的方法,其中所述重新发布自动地并且在没有自所述客户实体接收重新发布请求的情况下发生。3.根据权利要求1所述的方法,其中:所述数字证书使公共密码密钥与所述客户实体相关联;以及所述公共密码密钥对应于私有密码密钥。4.根据权利要求3所述的方法,其还包括:在针对所述多租户环境中的所述网络资源的使用和/或控制授权所述客户实体时生成所述公共密码密钥和所述私有密码密钥。5.根据权利要求4所述的方法,其中所述私有密码密钥为所述客户实体不可访问的。6.根据权利要求1所述的方法,其中所述网络资源为由所述客户实体使用和/或控制的虚拟机、数据库和/或服务中的至少一个。7.根据权利要求1所述的方法,其包括:自所述客户实体接收请求以发布所述数字证书;关于所述数字证书授权所述客户实体;以及在所述客户实体的成功授权时,发布所述数字证书,其中所述数字证书识别所述网络资源。8.根据权利要求7所述的方法,其中所述网络资源为虚拟机,并且所述授权包括:以费用作为交换来使所述客户实体与所述虚拟机相关联;以及发动所述虚拟机以用于由所述客户实体使用。9.根据权利要求1所述的方法,其还包括:授予所述客户实体对所述网络资源的访问;以及关于...
【专利技术属性】
技术研发人员:P·Z·鲍文,
申请(专利权)人:亚马逊技术有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。