一种智能匹配HTTPS访问证书的方法技术

本发明专利技术公开了一种智能匹配HTTPS访问证书的方法，涉及运维技术领域，包括：配置https端口监听，配置域名证书，指定默认域名证书，并配置IP或IP段证书对应关系表；解析ClientHello包，检查是否携带SNI扩展然后匹配域名证书，再进行TLS交互，最后判断域名证书是否与请求域名一致,再在IP或IP段对应关系表中查找IP状态然后根据状态选择相应的域名证书的过程，通过本发明专利技术提供的方法，优化了证书选择策略，作为一种更智能的HTTPS证书选择方法，对业务的可用性进行提高，而且无需HTTPS访问端进行扩展就可进行提高业务可用性质量。

An Intelligent Matching Method for HTTPS Access Certificate

The invention discloses an intelligent matching method for HTTPS access certificate, which relates to the field of operation and maintenance technology, including: configuring HTTPS port listening, configuring domain name certificate, specifying default domain name certificate, configuring IP or IP segment certificate correspondence table; parsing Client Hello package, checking whether to carry SNI extension, matching domain name certificate, then TLS interaction, and finally determining whether domain name certificate and IP segment certificate are compatible. The process of requesting domain name consistency, searching IP status in IP or IP segment correspondence table and selecting corresponding domain name certificates according to the status has been optimized by the method provided by the invention. As a more intelligent HTTPS certificate selection method, the service availability can be improved, and the service availability can be improved without HTTPS access end expansion. Quantity.

【技术实现步骤摘要】
一种智能匹配HTTPS访问证书的方法
本专利技术涉及运维
，具体的说，是一种智能匹配HTTPS访问证书的方法。
技术介绍
随着信息化时代的发展，国家发展进入了网络安全时代，互联网行业对于对外提供的服务的内容安全也越来越重视，在业务发展的同时，WEB服务的复用也越来越多，单机WEB服务支持多个HTTPS的域名的场景越来越常见。但是目前很单机WEB服务支持多个HTTPS的域名的技术还存在很多问题，常见的就是HTTPS访问客户端不支持SNI，导致不能提供HTTPS服务而经常不可用，可用性较差。
技术实现思路
本专利技术的目的在于提供一种智能匹配HTTPS访问证书的方法，用于解决现有技术中HTTPS访问客户端不支持SNI，导致不能提供HTTPS服务而经常不可用，可用性较差的问题。本专利技术通过下述技术方案解决上述问题：一种智能匹配HTTPS访问证书的方法，该方法包括如下步骤：步骤1：在单个WEB服务内配置https端口监听，配置多个域名证书，指定默认域名证书，并配置IP或IP段证书对应关系表；步骤2：HTTPS访问客户端，客户端发送ClientHello；步骤3：WEB服务接收到客户端发送的ClientHello包后对其进行解析，检查解析ClientHello包内是否携带SNI扩展；步骤4：根据步骤3的检查结果，若ClientHello包内携带SNI扩展，WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取，通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端；若不携带，则从IP或IP段证书对应关系表查找域名证书，并标记为待确认状态；步骤5：HTTPS访问客户端和WEB服务进行TLS交互，交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致；若不一致，客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接；步骤6：根据步骤6中客户端的选择，若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求，查找证书检查表内该IP的状态，并将返回的域名证书状态设置为正常，在IP或IP段证书对应关系表内设置对应关系，返回对应的内容给HTTPS访问客户端；反之则WEB服务接收到HTTPS访问客户端关闭该tcp连接，查找证书检查表内该IP的状态，若该IP的返回的域名状态已经为正常则忽略，若为待确认则设置为异常；步骤7：检查HTTPS访问客户端的IP地址在证书检查表的状态，若待发送的域名证书已经在该表内处于异常的状态，则随机选择其他的域名证书。原来的单机多域名WEB服务仅是支持SNI扩展和单默认证书的配置，无法针对某些IP或者IP端进行证书的指定配置，且无法在HTTPS访问客户端不支持SNI的情况下正常提供访问，通过本专利技术提供的方法，优化了证书选择策略，作为一种更智能的HTTPS证书选择方法，对业务的可用性进行提高，而且无需HTTPS访问端进行扩展就可进行提高业务可用性质量。优选地，所述步骤4中从IP或IP段证书对应关系表查找域名证书的过程包括如下步骤：步骤4.1：获取HTTPS访问客户端的IP地址，从IP证书对应关系表内查找是否存在；步骤4.2：若IP证书对应关系表中存在，则返回该IP地址对应的域名证书；若不存在，则从IP段证书对应关系表内查找，HTTPS访问客户端的IP地址已经在IP段证书对应关系表内存在则返回该IP地址对应的域名证书；步骤4.3：如果在IP或IP段对应关系表都未查找到则返回默认域名证书。优选地，所述步骤4中标记的待确认状态设置有效时间30分钟。本专利技术与现有技术相比，具有以下优点及有益效果：(1)本专利技术优化了证书选择策略，作为一种更智能的HTTPS证书选择方法，对业务的可用性进行提高，而且无需HTTPS访问端进行扩展就可进行提高业务可用性和质量。(2)本专利技术智能匹配用户HTTPS访问证书，适用范围广，对于所有HTTPS访问和WEB服务都可使用。附图说明图1为本专利技术的智能匹配HTTPS访问证书的方法流程示意图；图2为本专利技术中的TLS握手原理图。具体实施方式下面结合实施例对本专利技术作进一步地详细说明，但本专利技术的实施方式不限于此。实施例1：结合附图1所示，一种智能匹配HTTPS访问证书的方法，该方法包括如下步骤：步骤1：在单个WEB服务内配置https端口监听，配置多个域名证书，指定默认域名证书，并配置IP或IP段证书对应关系表；步骤2：HTTPS访问客户端，客户端发送ClientHello；步骤3：WEB服务接收到客户端发送的ClientHello包后对其进行解析，检查解析ClientHello包内是否携带SNI扩展；步骤4：根据步骤3的检查结果，若ClientHello包内携带SNI扩展，WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取，通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端；若不携带，则从IP或IP段证书对应关系表查找域名证书，并标记为待确认状态且设置有效时间30分钟，查找过程包括：步骤4.1：获取HTTPS访问客户端的IP地址，从IP证书对应关系表内查找是否存在；步骤4.2：若IP证书对应关系表中存在，则返回该IP地址对应的域名证书；若不存在，则从IP段证书对应关系表内查找，HTTPS访问客户端的IP地址已经在IP段证书对应关系表内存在则返回该IP地址对应的域名证书；步骤4.3：如果在IP或IP段对应关系表都未查找到则返回默认域名证书；步骤5：HTTPS访问客户端和WEB服务进行TLS交互，交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致；若不一致，客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接；步骤6：根据步骤6中客户端的选择，若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求，查找证书检查表内该IP的状态，并将返回的域名证书状态设置为正常，在IP或IP段证书对应关系表内设置对应关系，返回对应的内容给HTTPS访问客户端；反之则WEB服务接收到HTTPS访问客户端关闭该tcp连接，查找证书检查表内该IP的状态，若该IP的返回的域名状态已经为正常则忽略，若为待确认则设置为异常；步骤7：检查HTTPS访问客户端的IP地址在证书检查表的状态，若待发送的域名证书已经在该表内处于异常的状态，则随机选择其他的域名证书。与现有技术相比起来，原来的单机多域名WEB服务仅是支持SNI扩展和单默认证书的配置，无法针对某些IP或者IP端进行证书的指定配置，且无法在HTTPS访问客户端不支持SNI的情况下正常提供访问，通过本专利技术提供的方法，优化了证书选择策略，作为一种更智能的HTTPS证书选择方法，对业务的可用性进行提高，而且无需HTTPS访问端进行扩展就可进行提高业务可用性质量。尽管这里参照本专利技术的解释性实施例对本专利技术进行了描述，上述实施例仅为本专利技术较佳的实施方式，本专利技术的实施方式并不受上述实施例的限制，应该理解，本领域技术人员可以设计出很多其他的修改和实施方式，这些修改和实施方式将落在本申请公开的原则范围和精神之内。本文档来自技高网...

【技术保护点】
1.一种智能匹配HTTPS访问证书的方法，其特征在于，该方法包括如下步骤：步骤1：在单个WEB服务内配置https端口监听，配置多个域名证书，指定默认域名证书，并配置IP或IP段证书对应关系表；步骤2：HTTPS访问客户端，客户端发送ClientHello；步骤3：WEB服务接收到客户端发送的ClientHello包后对其进行解析，检查解析ClientHello包内是否携带SNI扩展；步骤4：根据步骤3的检查结果，若ClientHello包内携带SNI扩展，WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取，通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端；若不携带，则从IP或IP段证书对应关系表查找域名证书，并标记为待确认状态；步骤5：HTTPS访问客户端和WEB服务进行TLS交互，交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致；若不一致，客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接；步骤6：根据步骤5客户端的选择，若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求，查找证书检查表内该IP的状态，并将返回的域名证书状态设置为正常，在IP或IP段证书对应关系表内设置对应关系，返回对应的内容给HTTPS访问客户端；反之则WEB服务接收到HTTPS访问客户端关闭该tcp连接，查找证书检查表内该IP的状态，若该IP的返回的域名状态已经为正常则忽略，若为待确认则设置为异常；步骤7：检查HTTPS访问客户端的IP地址在证书检查表的状态，若待发送的域名证书已经在该表内处于异常的状态，则随机选择其他的域名证书。...

【技术特征摘要】
1.一种智能匹配HTTPS访问证书的方法，其特征在于，该方法包括如下步骤：步骤1：在单个WEB服务内配置https端口监听，配置多个域名证书，指定默认域名证书，并配置IP或IP段证书对应关系表；步骤2：HTTPS访问客户端，客户端发送ClientHello；步骤3：WEB服务接收到客户端发送的ClientHello包后对其进行解析，检查解析ClientHello包内是否携带SNI扩展；步骤4：根据步骤3的检查结果，若ClientHello包内携带SNI扩展，WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取，通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端；若不携带，则从IP或IP段证书对应关系表查找域名证书，并标记为待确认状态；步骤5：HTTPS访问客户端和WEB服务进行TLS交互，交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致；若不一致，客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接；步骤6：根据步骤5客户端的选择，若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求，查找证书检查表内该IP的状...

【专利技术属性】
技术研发人员：龚致，
申请(专利权)人：四川长虹电器股份有限公司，
类型：发明
国别省市：四川,51