本申請公開了一種基于微服務的單點證書認證系統及方法，該系統包括證書管理模塊和token管理模塊，且都提供restful API接口。證書管理模塊用于生成證書、下載證書、對證書進行認證、刪除證書以及存儲證書文件；token管理模塊用于根據證書信息生成token、對token進行認證以及存儲token。該方法包括：獲取來自客戶端的證書生成請求；根據該請求生成相應的證書發送至客戶端并存儲；判斷證書生成請求中是否存在token信息；如果是，對token信息進行認證；否則對證書進行認證，證書認證通過后生成一加密的token信息返回至客戶端，并存儲加密的token信息，客戶端攜帶加密的token信息再次訪問服務端；對加密的token信息進行認證。通過本申請能夠提高對系統的管理效率，提高證書認證的安全性。

技術領域

本申請涉及計算機安全認證技術領域，特別是涉及一種基于微服務的單點證書認證系統及方法。

背景技術

業務系統的證書認證，是計算機安全認證技術領域的一個重要問題。例如，在Web應用系統中通常用到證書認證，以確保系統運行的安全性。

目前常用的證書認證系統通常是：每一套業務系統部署一套證書服務器，用于進行數字證書的管理，每個業務系統的數字證書認證過程在業務系統內部完成，為一對一的認證過程。具體地，目前的證書認證系統包括三部分：多個客戶端、多個證書服務器和多個服務端，其中一套業務系統匹配一個客戶端、一個證書服務器和一個服務端，其部署結構可以參見圖1，由圖1可知，以三套業務系統為例，三套業務系統匹配三個客戶端，需要部署三個證書服務器，三個證書服務器分別進行數字證書認證，認證通過后，分別發送給相應的服務端。

然而，目前的證書認證系統中，由于每個業務系統的數字證書認證過程需要在其自身內部完成，多個業務系統需要配置多個證書服務器，操作繁瑣，不利于證書認證的管理。

發明內容

本申請提供了基于微服務的單點證書認證系統及方法，以解決現有技術中證書認證系統不便于管理的問題。

為了解決上述技術問題，本申請實施例公開了如下技術方案：

一種基于微服務的單點證書認證系統，所述系統的一端分別與多個客戶端連接，所述系統的另一端分別與多個服務端連接，且所述系統以微服務方式部署，所述系統包括：證書管理模塊和token管理模塊，且所述證書管理模塊和token管理模塊均提供對外通信的restful API接口；

所述證書管理模塊，用于根據所獲取的外部請求生成證書、下載所述證書、對所述證書進行認證、刪除所述證書以及存儲與證書認證相關的文件；

所述token管理模塊，用于證書認證通過后，根據所述證書生成token信息、存儲token信息以及對所述token信息進行認證。

可選地，所述證書管理模塊包括：

證書生成單元，用于根據所獲取的證書生成請求生成相應的證書；

證書下載單元，用于根據所獲取的證書下載請求，從單點證書認證系統中下載所述證書；

證書刪除單元，用于根據所獲取的證書刪除請求，對所述證書進行刪除；

證書認證單元，用于根據所獲取的證書認證請求，對所述證書進行合法性驗證；

第一存儲單元，用于存儲所述證書及證書認證相關的文件。

可選地，所述第一存儲單元包括：單點證書認證系統指定的存儲文件或者keystore。

可選地，所述token管理模塊包括：

Token生成單元，用于證書認證通過后，根據設定的規則生成一加密的token信息，并將所述加密的token信息發送至客戶端；