The invention discloses an intelligent matching method for HTTPS access certificate, which relates to the field of operation and maintenance technology, including: configuring HTTPS port listening, configuring domain name certificate, specifying default domain name certificate, configuring IP or IP segment certificate correspondence table; parsing Client Hello package, checking whether to carry SNI extension, matching domain name certificate, then TLS interaction, and finally determining whether domain name certificate and IP segment certificate are compatible. The process of requesting domain name consistency, searching IP status in IP or IP segment correspondence table and selecting corresponding domain name certificates according to the status has been optimized by the method provided by the invention. As a more intelligent HTTPS certificate selection method, the service availability can be improved, and the service availability can be improved without HTTPS access end expansion. Quantity.
【技术实现步骤摘要】
一种智能匹配HTTPS访问证书的方法
本专利技术涉及运维
,具体的说,是一种智能匹配HTTPS访问证书的方法。
技术介绍
随着信息化时代的发展,国家发展进入了网络安全时代,互联网行业对于对外提供的服务的内容安全也越来越重视,在业务发展的同时,WEB服务的复用也越来越多,单机WEB服务支持多个HTTPS的域名的场景越来越常见。但是目前很单机WEB服务支持多个HTTPS的域名的技术还存在很多问题,常见的就是HTTPS访问客户端不支持SNI,导致不能提供HTTPS服务而经常不可用,可用性较差。
技术实现思路
本专利技术的目的在于提供一种智能匹配HTTPS访问证书的方法,用于解决现有技术中HTTPS访问客户端不支持SNI,导致不能提供HTTPS服务而经常不可用,可用性较差的问题。本专利技术通过下述技术方案解决上述问题:一种智能匹配HTTPS访问证书的方法,该方法包括如下步骤:步骤1:在单个WEB服务内配置https端口监听,配置多个域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;步骤2:HTTPS访问客户端,客户端发送ClientHello;步骤3:WEB服务接收到客户端发送的ClientHello包后对其进行解析,检查解析ClientHello包内是否携带SNI扩展;步骤4:根据步骤3的检查结果,若ClientHello包内携带SNI扩展,WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取,通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端;若不携带,则从IP或IP段证书对应关系表查找域名证书,并标记 ...
【技术保护点】
1.一种智能匹配HTTPS访问证书的方法,其特征在于,该方法包括如下步骤:步骤1:在单个WEB服务内配置https端口监听,配置多个域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;步骤2:HTTPS访问客户端,客户端发送ClientHello;步骤3:WEB服务接收到客户端发送的ClientHello包后对其进行解析,检查解析ClientHello包内是否携带SNI扩展;步骤4:根据步骤3的检查结果,若ClientHello包内携带SNI扩展,WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取,通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端;若不携带,则从IP或IP段证书对应关系表查找域名证书,并标记为待确认状态;步骤5:HTTPS访问客户端和WEB服务进行TLS交互,交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致;若不一致,客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接;步骤6:根据步骤5客户端的选择,若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内 ...
【技术特征摘要】
1.一种智能匹配HTTPS访问证书的方法,其特征在于,该方法包括如下步骤:步骤1:在单个WEB服务内配置https端口监听,配置多个域名证书,指定默认域名证书,并配置IP或IP段证书对应关系表;步骤2:HTTPS访问客户端,客户端发送ClientHello;步骤3:WEB服务接收到客户端发送的ClientHello包后对其进行解析,检查解析ClientHello包内是否携带SNI扩展;步骤4:根据步骤3的检查结果,若ClientHello包内携带SNI扩展,WEB服务器将SNI中的HTTPS访问客户端的域名信息进行提取,通过域名信息直接返回对应的域名的证书并发送SeverHello给HTTPS访问客户端;若不携带,则从IP或IP段证书对应关系表查找域名证书,并标记为待确认状态;步骤5:HTTPS访问客户端和WEB服务进行TLS交互,交互完成后HTTPS访问客户端检查WEB服务返回的域名证书是否与请求的域名一致;若不一致,客户端可选择忽略证书错误继续发送请求或终止发送内容请求并关闭tcp连接;步骤6:根据步骤5客户端的选择,若选择忽略证书错误则WEB服务接收到HTTPS访问客户端发送的内容请求,查找证书检查表内该IP的状...
【专利技术属性】
技术研发人员:龚致,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。