本发明专利技术公开了一种SSL解密设备上的证书替换方法,包括以下步骤:S1,通过SSL配置页面配置数字根证书的相关属性,根据用户自定义的信息生成特有的数字根证书;S2,通过代理服务程序及其扩展动态检测域名、IP地址的合法性,根据S1生成的数字根证书动态为域名签发服务端证书和用户预先配置的需要解密的对象信息,将解密对象的证书替换成自建服务证书。本发明专利技术在SSL解密系统中使用自定义的CA根证书签发服务端证书和替换其他未知的证书,可解密互联网中的访问的加密流量,增加了网络安全防护,降低了网络攻击的风险。了网络攻击的风险。了网络攻击的风险。
【技术实现步骤摘要】
一种SSL解密设备上的证书替换方法
[0001]本专利技术涉及网络数据传输
,尤其涉及一种SSL解密设备上的证书替换方法。
技术介绍
[0002]由于网络上的数据都是明文传输,各种的安全事件被频频爆出。为了解决数据在互联网安全可靠的传输,诞生了以SSL/TSL安全交换信息的协议,用于数据传输双方的身份认证,数据传输的保密性和可靠性,而SSL/TLS协议的数据传输又以数字证书做为通信双方的凭证。
[0003]但现有技术中,目前市面上支持的SSL解密设备都是以入站方向为基础,没有对出站方向回来的数据做监控过滤,藉此有可能引发的不可控的网络安全事故。
技术实现思路
[0004]本专利技术提供了一种SSL解密设备上的证书替换方法,以解决上述
技术介绍
中提出的问题。
[0005]为了实现上述目的,本专利技术采用了如下技术方案:
[0006]一种SSL解密设备上的证书替换方法,包括以下步骤:
[0007]S1,通过SSL配置页面配置数字根证书的相关属性,根据用户自定义的信息生成特有的数字根证书;
[0008]S2,通过代理服务程序及其扩展动态检测域名、IP地址的合法性,根据S1生成的数字根证书动态为域名签发服务端证书和用户预先配置的需要解密的对象信息,将解密对象的证书替换成自建服务证书。
[0009]作为本技术方案的进一步改进方案:所述S1用于用户在接入SSL解密设备时创建CA根证书,具体流程为:
[0010]用户需要根据自身情况初始化CA证书的属性,包括选择用于生成密钥的密钥类型、长度、算法,以及证书的有效期;
[0011]后端逻辑程序根据用户自定义的参数信息生成对应CA根证书和用于加密的私钥,以及用于生成服务端证书的私钥;
[0012]CA根证书创建成功后,用户在当前也查看根证书信息和下载根证书到本地系统,导入到计算机系统的证书模块,并将其添加为受信任的证书。
[0013]作为本技术方案的进一步改进方案:所述S1具体流程中需要处理行为包括:后台处理程序对参数进行逻辑校验;
[0014]如果用户没有选择根证书密钥的类型、长度、算法,则由后台程序使用默认值填充;
[0015]同时,后台程序按照用户自选或默认参数生成服务端证书的密钥,创建用于存放已签发证书的文本数据库文件index.txt和存放已签发证书的序列号文件serial;
[0016]将生成的CA根证书、CA根证书密钥,服务端证书密钥文件及相关存放到指定位置;
[0017]返回CA根证书详情信息和提供下载操作;
[0018]用户将下载到本地的CA根证书导入计算机系统的证书模块,并设置成受信任证书。
[0019]作为本技术方案的进一步改进方案:用户需要初始化CA根证书的属性,包括自定义CA所需的国家、地区、邮箱信息。
[0020]作为本技术方案的进一步改进方案:所述S2用于SSL解密系统后台根据用户配置的解密对象及解密策略,具体流程为:对出站流量进行匹配,满足条件时,将出站访问的域名或IP重定向到SSL解密系统内部代理模块,在这个过程中完成证书替换,之后代理服务向目标发起访问。
[0021]作为本技术方案的进一步改进方案:S2具体流程中需要处理的行为逻辑包括:
[0022]SSL解密系统策略模块根据用户配置的策略动态判定出站访问是否需要进行流量解密;
[0023]策略判定需要解密,此时证书替换包含:
[0024]1)获取访问的目的IP或者域名,判定域名或IP的正确性;
[0025]2)使用该IP或域名在服务端证书缓存区域进行匹配,命中缓存;
[0026]3)校验该证书时效性;
[0027]4)返回该证书;
[0028]5)在2)没有命中缓存,则使用服务端私钥和CA根证书生成该IP或域名的服务证书,返回证书;
[0029]6)替换该IP或域名的证书;
[0030]7)在缓存区域缓存该证书,以供下次直接访问,提高性能。
[0031]本专利技术实施例还提供了一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的SSL解密设备上的证书替换方法。
[0032]本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一项所述的SSL解密设备上的证书替换方法。
[0033]与现有技术相比,本专利技术的有益效果是:
[0034]在SSL解密系统中使用自定义的CA根证书签发服务端证书和替换其他未知的证书,可解密互联网中的访问的加密流量,增加了网络安全防护,降低了网络攻击的风险。
[0035]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,并可依照说明书的内容予以实施,以下以本专利技术的较佳实施例并配合附图详细说明如后。本专利技术的具体实施方式由以下实施例及其附图详细给出。
附图说明
[0036]此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0037]图1为本专利技术提出的一种SSL解密设备上的证书替换方法中S1的逻辑结构示意图;
[0038]图2为本专利技术提出的一种SSL解密设备上的证书替换方法中S2的逻辑结构示意图;
[0039]图3为本专利技术提供的一种终端设备的一个优选实施例的结构示意图。
具体实施方式
[0040]以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并非用于限定本专利技术的范围。在下列段落中参照附图以举例方式更具体地描述本专利技术。根据下面说明和权利要求书,本专利技术的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本专利技术实施例的目的。
[0041]除非另有定义,本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本专利技术。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
[0042]请参阅图1~3,本专利技术实施例中,生成证书分为两个部分:
[0043]第一个部分是:通过SSL配置页面配置数字根证书的相关属性,根据用户自定义的信息生成特有的数字根证书;
[0044]第二部分是:通过代理服务程序及其扩展动态检测域名、IP地址的合法性,根据第一部分生成的数字根证书动态为域名签发服务端证书和用户预先配置的需要解密的对象信息,将解密对象的证书替换成自建服务证书。
[0045]第一部分需要用户在接入SSL解密设备时创建CA根证书,如图1流程所述,用户需要根据自身情况初始化本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种SSL解密设备上的证书替换方法,其特征在于,包括以下步骤:S1,通过SSL配置页面配置数字根证书的相关属性,根据用户自定义的信息生成特有的数字根证书;S2,通过代理服务程序及其扩展动态检测域名、IP地址的合法性,根据S1生成的数字根证书动态为域名签发服务端证书和用户预先配置的需要解密的对象信息,将解密对象的证书替换成自建服务证书。2.根据权利要求1所述的一种SSL解密设备上的证书替换方法,其特征在于,所述S1用于用户在接入SSL解密设备时创建CA根证书,具体流程为:用户需要根据自身情况初始化CA证书的属性,包括选择用于生成密钥的密钥类型、长度、算法,以及证书的有效期;后端逻辑程序根据用户自定义的参数信息生成对应CA根证书和用于加密的私钥,以及用于生成服务端证书的私钥;CA根证书创建成功后,用户在当前也查看根证书信息和下载根证书到本地系统,导入到计算机系统的证书模块,并将其添加为受信任的证书。3.根据权利要求2所述的一种SSL解密设备上的证书替换方法,其特征在于,所述S1具体流程中需要处理行为包括:后台处理程序对参数进行逻辑校验;如果用户没有选择根证书密钥的类型、长度、算法,则由后台程序使用默认值填充;同时,后台程序按照用户自选或默认参数生成服务端证书的密钥,创建用于存放已签发证书的文本数据库文件index.txt和存放已签发证书的序列号文件serial;将生成的CA根证书、CA根证书密钥,服务端证书密钥文件及相关存放到指定位置;返回CA根证书详情信息和提供下载操作;用户将下载到本地的CA根证书导入计算机系统的证书模块,并设置成受信任证书。4.根据权利要求3所述的一种SSL解密设备上的证书替换方法,其...
【专利技术属性】
技术研发人员:刘庆林,陈洪新,刘正伟,魏海宇,谢辉,安恩庆,刘海洋,李小琼,康柏荣,王鲲,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。