[发明专利]一种ACME集中管理系统及其负载均衡方法

权利要求书

1.一种ACME集中管理系统，其特征在于，该系统分别连接ACME客户端以及多个证书颁发机构CA，包括ACME卸载模块以及分别与ACME卸载模块连接的统计模块、策略模块、验证模块和通知模块，所述的ACME卸载模块与ACME客户端通信，并且与多个证书颁发机构CA通信；

该系统的工作流程包括以下步骤：

1)ACME客户端向ACME卸载模块发起证书申请，ACME卸载模块进行数据解析卸载；

2)ACME卸载模块通过策略模块设定的策略选择证书颁发机构CA并提交订单到对应的证书颁发机构CA开始申请证书；

3)ACME卸载模块通过验证模块设置验证值并通过证书颁发机构CA对订单进行验证；

4)验证通过后ACME卸载模块通过通知模块签发申请状态通知，并通过统计模块统计数据；

应用ACME集中管理系统的负载均衡方法，包括以下步骤：

1)用户通过ACME集中管理系统创建ACME目录URL获得URL地址，并且携带与订单绑定的token；

2)ACME客户端通过ACME目录URL获取API列表；

3)ACME客户端通过调用newNonce函数与newAccount API完成账户的注册；

4)ACME客户端通过调用newNonce函数与newOrder API将域名信息带入ACME集中管理系统；

5)ACME集中管理系统通过AMCE客户端请求的ACME目录URL中的token获取到对应的策略；

6)ACME集中管理系统通过ACME客户端请求的ACME目录URL中的token获取到对应的订单信息；

7)ACME集中管理系统创建一个包含域名待提交到证书颁发机构CA且未带有CSR的CA订单；

8)ACME集中管理系统返回携带订单ID以及用以域名所有权验证的ACMEAuthorization数据，并在此步中欺骗ACME客户端表示ACME客户端的域名已通过验证，并发送已通过验证信息，由此跳过由传统ACME客户端来自动配置完成ACME验证域名验证的过程；

9)ACME客户端生成私钥和CSR，通过调用newNonce函数与finalizeOrder函数提交订单ID与CSR到ACME集中管理系统；

10)ACME集中管理系统将待提交的CA订单与CSR一并提交到证书颁发机构CA获取到域名验证信息，调用验证模块进行域名验证；

11)验证模块收到需要验证的域名和验证值，通过文件代理和DNS CNAME授权设置验证值；

12)ACME集中管理系统调用CA证书获取API，证书颁发机构CA完成域名验证后签发并返回证书内容；

13)ACME集中管理系统按照ACME协议方式将证书内容返回给ACME客户端，完成证书签发过程。

2.根据权利要求1所述的一种ACME集中管理系统的负载均衡方法，其特征在于，所述的步骤7)中，当订单在多个ACME客户端形成竞争关系时，通过对订单加互斥锁避免多个ACME客户端同时请求同一ACME目录URL带来的冲突，并且对后续的同一请求采取挂起的方式。

3.根据权利要求2所述的一种ACME集中管理系统的负载均衡方法，其特征在于，所述的步骤7)中，对于取到互斥锁的ACME客户端，ACME集中管理系统创建一个包含域名待提交到证书颁发机构CA且未带有CSR的CA订单。

4.根据权利要求2所述的一种ACME集中管理系统的负载均衡方法，其特征在于，在按照步骤1)-13)完成具有竞争关系的多个ACME客户端中的ACME客户端A的证书签发过程后，对于具有竞争关系的多个ACME客户端中的ACME客户端B，通过以下步骤完成证书签发过程：

14)ACME集中管理系统释放ACME客户端A的互斥锁后，ACME客户端B获取到互斥锁，ACME客户端B获取ACME客户端A创建的CA订单号；

15)ACME客户端B重复步骤8)-9)；

16)ACME集中管理系统将对已提交的CA订单与CSR一并提交到证书颁发机构CA获取到域名验证信息，调用验证模块进行域名验证；

17)重复步骤11)-13)完成ACME客户端B的证书签发过程。