[发明专利]数字证书的证书链的自动补全方法及设备

说明书

本发明的目的是提供一种数字证书的证书链的自动补全方法及设备，本发明可以实现用户在配置数字证书时，自动检测数字证书及证书链有效性，并且能够在证书链不完整或证书链出现错误时，自动补全或自动更正证书链；另外，可在证书链完整且存在更优的证书链路径时，提供更优的证书链路径方案。从而大大提高上线部署效率，减少运维及时间成本，并能通过更优证书链路径提升网站访问体验。

技术领域

本发明涉及计算机领域，尤其涉及一种数字证书的证书链的自动补全方法及设备。

背景技术

随着互联网的发展，越来越多的网站开始关注自身网站的安全问题，由于HTTP协议是明文传输的，这就很难避免网站在访问过程中数据被窃听、被篡改(即中间人攻击)的风险，解决中间人攻击的最优手段就是网站开启数字证书。目前甚至一些浏览器直接会将未使用数字证书的网站标记为不安全，这就促使了越来越多的网站开始启用数字证书。

网站使用数字证书在提升了网站访问安全性的同时，也带来了一些问题：数字证书的证书链问题。网站在配置证书时，经常会遇到忘记配置完整的证书链，结果导致访问时报证书错误，导致网站无法正常访问，造成不良影响和损失。

现有方案一中：通过在生产环境或测试环境中部署，并进行各种浏览器访问，以检测证书链是否存在问题。如果存在证书链问题，就需要进行证书链的问题排查。很显然，这种方式效率较低，耗费相应的人力、时间成本，无法快速部署上线。而且，如果忘记测试这一步，而直接上线，则会造成更大的问题。

现有方案二中：通过相应的程序检测证书链的完整性，该程序可以给出证书链是否完整的结果。显然，该方案，只能给出是否完整的结论，并不能提供一个有效的补全方案，更不能提供更优的证书链补全方案。在证书链存在不完整时，仍需要人工介入来进行后继处理。显然，这种方式依旧没能达到更好的解决问题方式，依旧不能提高上线效率。

发明内容

本发明的一个目的是提供一种数字证书的证书链的自动补全方法及设备。

根据本发明的一个方面，提供了一种数字证书的证书链的自动补全方法，该方法包括：

采集信任的数字证书的证书链信息，并保存到数据库模块中；

获取API请求，并从所述API请求中获取待检查的数字证书，对所述待检查的数字证书中的证书链的路径完整性进行检测；

在检测到所述待检查的数字证书的证书链的路径不完整时，根据所述数据库模块中的信任的数字证书的证书链信息，对所述待检查的数字证书的证书链的路径进行自动补全。

进一步的，上述方法中，获取API请求，并从所述API请求中获取待检查的数字证书，对所述待检查的数字证书中的证书链的路径完整性进行检测，包括：

获取API请求；

从所述API请求中递归解析待检查的数字证书中的内容及其证书链；

对解析到的内容和证书链进行证书格式校验，以得到具有有效路径的证书链；

对具有有效路径的证书链的路径完整性进行检测。

进一步的，上述方法中，对解析到的内容和证书链进行证书格式校验，以得具有有效路径的证书链，包括：

基于所述解析到的内容，对待检查的数字证书的证书格式进行校验，

若证书格式校验成功，依次对解析到的证书链中的每两个相邻的证书的父亲关键信息标识进行比对，以验证每两个相邻的证书的父子关系是否成立，

若证书链中的每两个相邻的证书的父子关系均成立，则将该证书链，作为具有有效路径的证书链；