[发明专利]一种ACME集中管理系统及其负载均衡方法

说明书

本发明涉及一种ACME集中管理系统及其负载均衡方法，该系统分别连接ACME客户端以及多个证书颁发机构CA，包括ACME卸载模块以及分别与ACME卸载模块连接的统计模块、策略模块、验证模块和通知模块，所述的ACME卸载模块与ACME客户端通信，并且与多个证书颁发机构CA通信。与现有技术相比，本发明具有避免验证频繁、快速签发证书副本、更高效的证书签发等优点。

技术领域

本发明涉及互联网通信技术领域，尤其是涉及一种ACME集中管理系统及其负载均衡方法。

背景技术

ACME(Automatic Certificate Management Environment，rfc8555)协议是互联网标准，根据该协议，首先用户通过下载方式在需要部署证书服务器节点上安装好ACME客户端，然后通过命令行指定CA(Certificate Authority，证书颁发机构)提供的目录URL，指定私钥类型，指定验证方式，指定验证路径(文件路径或DNS服务商API)，然后指定部署路径，证书重载命令，最后完成证书的申请部署，ACME客户端会周期性检查自己维护的证书列表是否需要更新，并自动化完成上次的申请动作。

在实际应用中，ACME作为自动化证书申请标准，非常便利，也产生了多个基于ACME协议的证书自动化申请和部署的客户端，结合ACME的服务端(例如Let’sEncrypt免费证书)可以快速方便的获得SSL/TLS证书，导致了HTTPS的普及和HTTPS所依赖的SSL/TLS证书大规模应用，但也带来了管理的难题：

1、企业可选择的提供ACME的商业CA很少

商业CA签发的证书具有更高的可信度和服务保障，目前众多商业CA是不支持ACME协议，一方面是商业策略，例如目前DigiCert只对OV、EV开始尝试提供ACME支持，不对大规模用的DV提供，目前是Beta阶段。另一方面是支持ACME对传统CA来说有一定技术挑战和审计风险，通过API也能达到自动化的效果，如果企业想要通过ACME协议来自动化管理证书，又需要有多个可供选择的商业CA品牌，这就变得非常被动。

2、大量ACME客户端节点重复申请新证书，导致失败率过高，成本增加

正常使用的ACME客户端是部署在每台WEBSERVER服务器上，生成独立ACME账户，对于同一个域名申请证书，会导致大量CA域名所有权验证，从而导致申请时间长，失败率高，甚至会触发CA速率限制(例如Let’sEncrypt每周限制5份)，导致无法申请证书。同时对于使用ACME来适配商业CA，如果重复申请新证书，目前的商业CA普遍的计费策略会导致费用增加。

3、证书验证时间长，因缓存等问题造成签发失败率过高，维护成本高

为了验证域名所有权，需要通过多种方式进行验证，比如DNS、HTTP文件验证。DNS验证会有一个验证值生效时间的问题，当在域名服务商处添加好验证值，而验证值未能及时生效，造成签发失败。而HTTP文件验证需要用户有较高的运维知识，需要确保文件能够被正确访问到，如ACME协议中的.well-known/acme-challenge/token路径，实际操作过程中容易出错。

4、ACME客户端因网络或CA故障不能自动切换证书品牌

当使用ACME客户端申请证书时，目前的客户端自动化过程中证书申请、续期是和一个固定的地址进行通信，因网络抖动(光缆挖断)或CA出现重大bug造成自动化证书更新不成功。申请过程不能够智能的切换申请渠道，造成证书申请失败。

5、无法感知到证书申请失败的情况

目前的ACME客户端是直接与CA提供的ACMEURL地址通信(例如Let’sEncrypt的https://acme-v02.api.letsencrypt.org/directory)，当网络发生抖动，或CA故障等原因造成请求失败时，也无法感知到，无法及时作出调整。

发明内容