证书更新和部署制造技术

多租户环境的证书管理器可被授权为所述环境的客户自动更新证书。在所述证书的所述有效时段结束之前，所述证书管理器可代表所述客户获得新证书，并通知所述客户所述证书已准备好进行部署。所述证书将不会被部署，直到所述客户释放对所述证书的所述保存。如果未接收到任何这类指令，则可向所述客户发送关于即将结束的所述有效时段的通知，并且这些通知可以增加的频率进行发送。如果在所述有效时段到期之前未接收到任何通知，则所述证书管理器可自动部署所述证书，以确保为所述客户使有效证书保留在所述相关联的资源上的适当位置。

【技术实现步骤摘要】
【国外来华专利技术】证书更新和部署
技术介绍
用户越来越多地使用远程计算资源(其通常称为“云”的一部分)来执行任务。这具有许多优点，因为用户不必购买和维护专用硬件和软件，而是可以仅支付任何给定时间处需要的那些资源，其中这些资源典型地将由资源或“云”提供商管理。情况通常是，用户会想要一个或多个云资源来代表用户执行动作。这些动作中的至少一些可能需要一些验证：资源被授权代表用户执行这种任务或动作和/或用户被授权执行这种任务或动作。在可采取某些动作之前，其他动作可能需要一定的安全保证，诸如来确保通信链路是安全的。尽管可发布启用这些动作的各种安全凭证，但是这些凭证可能会到期，这可导致相关联的功能不可用，直到问题被发现并且新凭证落实在适当位置。附图说明将参考附图描述根据本公开的各种实施方案，在附图中：图1示出可实现各种实施方案的示例性环境。图2示出示例性环境，其中证书管理器可致使自动地更新、保存和部署可根据各种实施方案来利用的证书。图3示出用于获得和部署可根据各种实施方案来利用的新证书的示例性过程。图4示出用于通知客户证书即将到期并且部署可根据各种实施方案来利用的新证书的示例性过程。图5示出用于防止针对可根据各种实施方案来利用的固定证书执行更新和部署过程的示例性过程。图6示出可用于实现各种实施方案的各方面的计算装置的示例性部件。具体实施方式在以下描述中，将描述各种实施方案。出于解释的目的，将阐述特定的配置和细节，以便提供对实施方案的透彻理解。然而，对本领域的技术人员将明显的是，在没有特定细节的情况下也可实践实施方案。此外，为了不使所描述的实施方案晦涩，可省略或简化众所周知的特征。本文所描述和建议的方法涉及电子环境中的资源的管理。在至少一些实施方案中，诸如证书管理器的系统、服务或部件可被配置和授权来代表多租户环境的客户管理证书。证书管理器可接收证书并致使证书部署到适当的资源。证书管理器还可维护证书与资源之间的一系列关联、以及关于这些证书的有效时段的信息。当证书的有效时段就要结束时，证书管理器可被授权诸如通过代表客户为新证书联系证书颁发机构来自动更新证书。证书管理器可被配置来保存新证书，并通知客户有待部署的新证书的可用性，而不是部署证书。如果接收到部署指令，则证书管理器可致使部署证书。如果未接收到指令，则证书管理器可以增加的频率向客户发送附加通知。如果在当前证书到期之前没有接收到任何指令，则证书管理器可被授权将证书自动部署到相关联的资源，以确保客户可获得有效的证书。鉴于本文所包含的教义和建议，对于本领域普通技术人员来说明显的是，在各种实施方案的范围内，也可使用各种其他这类功能。图1示出可实现各种实施方案的各方面的示例性环境100。在这个实例中，用户能够利用客户端装置102来跨至少一个网络104向资源提供商环境106提交请求。客户端装置可包括可操作来在适当的网络上发送和接收请求、消息或其他这类信息并将信息传送回装置的用户的任何适当的电子装置。这类客户端装置的实例包括个人计算机、平板计算机、智能电话、笔记本计算机等。至少一个网络104可包括任何适当的网络，包括内联网、互联网、蜂窝网、局域网(LAN)或任何其他这类网络或组合，并且跨网络的通信可通过有线和/或无线连接实现。资源提供商环境106可包括用于接收请求并响应于这些请求来返回信息或执行动作的任何适当的部件。作为实例，提供商环境可包括Web服务器和/或应用服务器，其用于接收和处理请求，然后响应于所述请求返回数据、网页、视频、音频或其他这类内容或信息。在各种实施方案中，提供商环境(即，“多租户环境”)可包括各种类型的电子资源，所述电子资源可由多个用户出于各种不同的目的同时使用。在至少一些实施方案中，给定资源或资源组的全部或一部分可至少在一段确定时间段内被分配到具体用户或被分配用于具体任务。共享来自提供商环境的这些多租户资源通常称为资源共享、Web服务或“云计算”等其他这类术语，并且取决于特定的环境和/或实现方式。在这个实例中，提供商环境包括一种或多种类型的多个电子资源114。这些类型可包括例如可操作来处理由用户提供的指令的应用服务器或可操作来响应于用户请求处理存储在一个或多个数据存储区116中的数据的数据库服务器。已知出于这类目的，用户还可在给定的数据存储区中保留至少一部分数据存储。用于使用户能够保留各种资源和资源实例的方法在本领域中是公知的，使得整个过程的详细描述以及所有可能部件的解释将不在本文中详细论述。在至少一些实施方案中，想要利用资源114的一部分的用户可提交请求，所述请求在提供商环境106的接口层108处接收。接口层可包括应用编程接口(API)或其他暴露接口，使用户能够向提供商环境提交请求。这个实例中的接口层108还可同样包括其他部件，诸如至少一个Web服务器、路由部件、负载均衡器等。当在接口层108处接收到提供资源的请求时，所述请求的信息可被引导到资源管理器110或被配置来管理用户账户和信息、资源供应和使用以及其他这类方面的其他这类系统、服务或部件。接收请求的资源管理器110可执行任务，诸如认证提交请求的用户的身份以及确定该用户是否具有资源提供商的现有账户，其中账户数据可存储在提供商环境中的至少一个数据存储区112中。用户可提供各种类型的凭证中的任何一个，以便向提供商认证用户的身份。这些凭证可包括例如用户名和密码对、生物计量数据、数字签名或其他这类信息。提供商可根据为用户存储的信息来确认这种信息。如果用户拥有具有适当许可、状态等的帐户，则资源管理器可确定是否有足够的可用资源来适合用户的请求，并且如果是，则可提供资源或以其他方式准许访问这些资源的对应部分供用户以所述请求指定的量来使用。这个量可包括例如处理单个请求或执行单个任务的能力、特定时间段或循环/可更新时段等其他这类值。如果用户不具有提供商的有效帐户，则用户帐户无法实现访问请求中指定的资源类型，或者另一个这种原因阻止用户获得对这类资源的访问，则可向用户发送通信以使用户能够创建或修改账户、或者更改请求中指定的资源等其他这类选项。当用户被认证、帐户被验证、并且资源被分配时，用户可以指定的容量、数据传输量、时间段或其他这类值来利用所分配的资源。在至少一些实施方案中，用户可提供会话令牌或其他这类凭证给后续请求，以便使那些请求能够在该用户会话上得到处理。用户可接收资源标识符、特定地址或可使客户端装置102能够与分配的资源通信而不必与资源管理器110通信的其他这类信息，至少直到诸如用户账户的相关方面更改、用户不再被准许访问资源、或另一个这种方面更改的时间。这个实例中的资源管理器110(或另一个这种系统或服务)还可用作硬件和软件部件的虚拟层，其除了管理动作之外还处理控制功能，如可包括供应、缩放、复制等。资源管理器可利用接口层108中的专用API，其中每个API可被提供来接收对有待相对于数据环境执行的至少一个特定动作的请求，诸如提供、缩放、复制或休眠实例。在接收对一个API的请求时，接口层的Web服务部分可解析或以其他方式分析请求来确定需要作用于或处理调用的步骤或动作。例如，可接收包括对创建数据存储库的请求的Web服务调用。至少一个实施方案中的接口层108包括可扩展的一组面向客户的服务器，所述面向客户的服务器可提供各种API并基于本文档来自技高网...

【技术保护点】
1.一种计算机实现的方法，其包括：资源提供商环境的证书管理服务接收将证书部署到所述资源提供商环境的资源的请求，所述证书是代表所述资源提供商环境的客户来进行部署的；致使所述证书被部署到所述资源，所述证书的信息由所述证书管理服务进行存储；使用所述证书的所述信息确定所述证书处于距所述证书的有效时段结束的第一确定时间段内；代表所述客户从证书颁发机构获得新证书，所述新证书由所述证书管理服务进行存储；向所述客户提供指示有待部署到所述资源的所述新证书的可用性的通知；使用所述证书的所述信息确定所述证书处于距所述有效时段结束的第二确定时间段内并且未代表所述客户接收到部署的指令；以及致使所述新证书通过所述证书管理服务自动部署到所述资源。

【技术特征摘要】
【国外来华专利技术】2015.12.14 US 14/968,2801.一种计算机实现的方法，其包括：资源提供商环境的证书管理服务接收将证书部署到所述资源提供商环境的资源的请求，所述证书是代表所述资源提供商环境的客户来进行部署的；致使所述证书被部署到所述资源，所述证书的信息由所述证书管理服务进行存储；使用所述证书的所述信息确定所述证书处于距所述证书的有效时段结束的第一确定时间段内；代表所述客户从证书颁发机构获得新证书，所述新证书由所述证书管理服务进行存储；向所述客户提供指示有待部署到所述资源的所述新证书的可用性的通知；使用所述证书的所述信息确定所述证书处于距所述有效时段结束的第二确定时间段内并且未代表所述客户接收到部署的指令；以及致使所述新证书通过所述证书管理服务自动部署到所述资源。2.如权利要求1所述的计算机实现的方法，其还包括：如果未代表所述客户接收到部署的指令，则在所述第一确定时间段与所述第二确定时间段之间以增加的频率向所述客户提供附加的通知。3.如权利要求1所述的计算机实现的方法，其还包括：通过所述证书管理服务并代表所述客户生成公钥和私钥对；以及代表所述客户使用所述公钥和私钥对从证书颁发机构获得所述证书。4.如权利要求1所述的计算机实现的方法，其还包括：使用所述新证书的所述信息确定所述新证书处于距所述新证书的有效时段结束的第一确定时间段内；代表所述客户从证书颁发机构获得第三证书，所述第三证书由所述证书颁发机构进行存储；向所述客户提供指示有待部署到所述资源的所述第三证书的可用性的通知；代表所述客户接收部署所述第三证书的指令；以及致使所述第三证书被部署到所述资源。5.一种计算机实现的方法，其包括：确定代表用户部署到多租户环境中的资源的第一证书处于距到期的第一阈值时间量内；代表所述用户获得新证书；通知所述用户：所述新证书可用于部署到所述资源；以及如果尚未代表所述用户以其他方式接收到部署的指令，则致使所述新证书在距到期的第二阈值时间量内部署到所述资源。6.如权利要求5所述的计算机实现的方法，其还包括：在距到期的所述第一阈值时间量与所述第二阈值时间量之间确定尚未接收到所述部署的指令；以及向所述用户发送关于所述新证书的至少一个附加通知。7.如权利要求6所述的计算机实现的方法，其还包括：从所述用户接收用于发...

【专利技术属性】
技术研发人员：托德·劳伦斯·奇涅蒂，普雷斯顿·埃尔德，
申请(专利权)人：亚马逊技术有限公司，
类型：发明
国别省市：美国,US