(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210350970.9 (22)申请日 2022.04.02 (71)申请人 网宿科技股份有限公司 地址 200030 上海市徐汇区斜土路289 9号 光启文化广场A幢5楼 (72)发明人 孟佳鹏　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 赵祎 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种微服务的证书管 理方法、 装置及认证系 统 (57)摘要 本申请提供一种微服务的证书 管理方法、 装 置及认证系统， 该认证系统中包括令牌签发中 心、 证书颁发机构以及多个微服务的微服务实 例。 第一微服务的第一微服务实例可通过携带令 牌签发中心签发的令牌向证书颁发机构申请证 书， 由证书颁发机构在校验通过令牌后， 为第一 微服务实例签发证书。 该方法中， 微服务实例可 通过与证书颁发机构进行信息交互， 实现证书的 申请和下发， 从而提高证书管理的效率， 解决现 有技术中需要手动部署证书效率低， 以及在微服 务实例数量较多时证书的成本高的问题。 同时， 由于令牌的有效期比较短， 因此， 该方法可以避 免认证介质泄 露的风险， 提高系统的安全性。 权利要求书3页 说明书16页 附图6页 CN 114826608 A 2022.07.29 CN 114826608 A 1.一种微 服务的证书管理方法， 其特 征在于， 所述方法包括： 第一微服务的第 一微服务实例向证书颁发机构 发送证书签发请求， 所述证书签发请求 中包括令牌签发中心 为所述第一微服务 实例签发的令牌， 所述令牌存储于所述第一微服务 实例的启动配置文件中， 所述令牌的有效期小于设定阈值； 所述第一微服务实例接收来自所述证书颁发机构的证书签发响应， 所述证书签发响应 中包括所述证书颁发机构在校验通过 所述令牌后为所述第一 微服务实例签发的第一证书。 2.根据权利要求1所述的方法， 其特征在于， 所述令牌中包括令牌签发中心身份描述信 息、 微服务实例身份描述信息、 证书颁发机构身份描述信息、 令牌签发时间和令牌过期时 间。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述第一 微服务实例基于所述第一证书， 从配置中心获取第二 微服务的配置信息； 所述第一微服务实例根据所述第 二微服务的配置信 息， 选择所述第 二微服务的第 二微 服务实例并发起连接 。 4.根据权利要求3所述的方法， 其特征在于， 所述第 二微服务的配置信 息中包括以下一 项或多项信息： 实例信息、 路由信息、 合法证书信息； 其中， 所述实例信息包括所述第二微服务的各个微服务实例的IP地址和端口， 所述路 由信息用于指示访问所述第二微服务时的实例选择规则， 所述合法证书信息用于校验通信 对端的证书。 5.根据权利要求1至4中任一项所述的方法， 其特 征在于， 所述方法还 包括： 所述第一微服务实例在所述第 一证书过期前， 基于所述第 一证书向所述证书颁发机构 发送证书更新请求； 所述第一微服务实例接收来自所述证书颁发机构的证书更新响应， 所述证书更新响应 中包括所述证书颁发机构在校验通过所述第一证书后为所述第一微服务实例 签发的第二 证书。 6.一种微 服务的证书管理方法， 其特 征在于， 所述方法包括： 证书颁发机构接收来自第 一微服务的第 一微服务实例的证书签发请求， 所述证书签发 请求中包括令牌签发中心为所述第一微服务 实例签发的令牌， 所述令牌存储于所述第一微 服务实例的启动配置文件中， 所述令牌的有效期小于设定阈值； 所述证书颁发机构对所述令牌进行校验， 并在校验通过后 为所述第 一微服务实例签发 第一证书； 所述证书颁发机构向所述第 一微服务实例发送证书签发响应， 所述证书签发响应 中包 括所述第一证书。 7.根据权利要求6所述的方法， 其特征在于， 所述令牌中包括令牌签发中心身份描述信 息、 微服务实例身份描述信息、 证书颁发机构身份描述信息、 令牌签发时间和令牌过期时 间。 8.根据权利要求7所述的方法， 其特征在于， 所述证书颁发机构对所述令牌进行校验， 包括： 如果所述证书颁发机构身份描述信 息不指向所述证书颁发机构， 或者所述令牌签发时 间晚于所述证书颁发机构的当前系统时间， 或者所述令牌过期时间早于所述当前系统时权　利　要　求　书 1/3 页 2 CN 114826608 A 2间， 或者所述证书颁发机构根据所述令牌签发中心身份描述信息， 查找不到所述令牌签发 中心对应的公钥， 或者所述证书颁发机构根据查找到所述令牌签发中心对应的公钥， 对所 述令牌的头字段和体字段计算得到的摘要信息与所述令牌的签名字段不匹配， 则确认校验 不通过， 否则校验通过。 9.根据权利要求6所述的方法， 其特 征在于， 所述方法还 包括： 所述证书颁发机构接收来自所述第一 微服务实例的证书更新请求； 所述证书颁发机构对所述第一微服务实例在建立连接的过程中提供的所述第一证书 进行校验， 并在校验通过后为所述第一 微服务实例签发第二证书； 所述证书颁发机构向所述第 一微服务实例发送证书更新响应， 所述证书更新响应 中包 括所述第二证书。 10.根据权利要求9所述的方法， 其特征在于， 所述证书颁发机构对所述第一微服务实 例在建立连接的过程中提供的所述第一证书 进行校验， 包括： 如果所述第一证书由所述证书颁发机构签发且仍在有效期内， 则确认校验通过， 否则 校验不通过。 11.一种微 服务的证书管理装置， 其特 征在于， 所述装置包括： 通信模块， 用于向证书颁发机构发送证书签发请求， 所述证书签发请求中包括令牌签 发中心为所述第一微服务 实例签发的令牌， 所述令牌存储于所述第一微服务 实例的启动配 置文件中， 所述令牌的有效期小于设定阈值； 所述通信模块， 还用于 接收来自所述证书颁发机构的证书签发响应； 处理模块， 用于通过所述证书签发响应中获取所述证书颁发机构在校验通过所述令牌 后为所述第一 微服务实例签发的第一证书。 12.一种微 服务的证书管理装置， 其特 征在于， 所述装置包括： 通信模块， 用于接收来自第一微服务的第一微服务实例的证书签发请求， 所述证书签 发请求中包括令牌签发中心 为所述第一微服务实例签发的令牌， 所述令牌存储于所述第一 微服务实例的启动配置文件中， 所述令牌的有效期小于设定阈值； 处理模块， 用于对所述令牌进行校验， 并在校验通过后为所述第一微服务实例签发第 一证书； 所述通信模块， 还用于向所述第一微服务实例 发送证书签发响应， 所述证书签发响应 中包括所述第一证书。 13.一种微 服务的认证装置， 其特 征在于， 所述装置包括： 存储器， 用于存 储程序指令； 处理器， 用于调用所述存储器中存储的程序指令， 按照获得的程序指令执行如权利要 求1至5中任一项所述的方法， 或执 行如权利要求6 至10中任一项所述的方法。 14.一种计算机存储介质， 其特征在于， 所述计算机存储介质存储有计算机可执行指 令， 所述计算机可执行指令用于使计算机执行如权利要求1至5中任一项所述的方法， 或者 执行如权利要求6 至10中任一项所述的方法。 15.一种微服务的认证系统， 其特征在于， 所述系统包括令牌签发中心、 证书颁发机构、 以及多个微 服务的微服务实例； 其中， 所述令牌签发中心， 用于为每个所述微服务实例签发令牌， 所述令牌存储于所述微服权　利　要　求　书 2/3 页 3 CN 114826608 A 3