[发明专利]证书查询方法、装置、设备及计算机可读存储介质

权利要求书

1.一种证书查询方法，其特征在于，所述方法应用于一种网络设备，所述方法包括：

获取目标客户端的证书信息；

生成携带所述证书信息的在线证书状态协议OCSP查询报文；

将所述OCSP查询报文发送给至少一个查询服务器，其中，所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态，并生成携带所述证书状态的响应报文；

根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态。

2.根据权利要求1所述的方法，其特征在于，所述获取目标客户端的证书信息，包括：

若本地OCSP请求队列中存在查询请求，则依次从所述本地OCSP请求队列中取出每一个查询请求，将当前取出的查询请求作为目标查询请求，其中，所述目标查询请求中携带了目标客户端的证书信息；

从所述目标查询请求中获取所述目标客户端的证书信息。

3.根据权利要求1所述的方法，其特征在于，所述将所述OCSP查询报文发送给至少一个查询服务器，包括：

按照预先配置的统一资源标识符URI优先级，确定用于OCSP查询的至少一个查询服务器的URI；

向确定的每一URI发送所述OCSP查询报文。

4.根据权利要求3所述的方法，其特征在于，所述URI优先级的配置结果，包括：

将从证书报文中解析出的URI作为第一优先级，其中，所述证书报文是所述目标客户端向所述网络设备发送的携带所述证书信息的报文；

或者，将预先配置的URI作为第一优先级；

或者，将从证书报文中解析出的URI与预先配置的URI，均作为第一优先级。

5.根据权利要求3所述的方法，其特征在于，所述向确定的每一URI发送所述OCSP查询报文，包括：

分别从不同的公网链路，向确定的每一URI发送所述OCSP查询报文。

6.根据权利要求1所述的方法，其特征在于，所述根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态，包括：

在预设的查询超时时间内，若接收到至少一个查询服务器返回的响应报文，则将第一个返回的响应报文所携带的证书状态，作为所述目标客户端的证书状态。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述目标客户端的证书状态为正常、或吊销、或未知；所述方法还包括：

若所述目标客户端的证书状态为未知、或未接收任一查询服务器返回的响应报文，则根据预设的状态配置方式，将所述目标客户端的证书状态设定为正常或吊销。

8.根据权利要求2-6任一项所述的方法，其特征在于，所述方法还包括：

当在所述本地OCSP请求队列中形成所述目标客户端的查询请求后，使所述目标客户端与所述网络设备之间的连接请求校验通过，并将所述目标客户端的会话标记设置为阻塞标记；

其中，所述阻塞标记用于阻塞所述网络设备、与所述目标客户端所要访问的后端服务器之间的连接。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

检测所述目标客户端的会话标记；

若所述目标客户端的会话标记为所述阻塞标记，则不向所述目标客户端所要访问的后端服务器发送连接请求；

若所述目标客户端的会话标记表示所述目标客户端的证书状态为正常，则向所述目标客户端所访问的后端服务器发送连接请求；

若所述目标客户端的会话标记表示所述目标客户端的证书状态为吊销，则使所述网络设备与所述目标客户端断开连接。