数字证书获取方法、装置、电子设备、系统和存储介质与流程

1.本发明实施例涉及网络安全技术，尤其涉及一种数字证书获取方法、装置、电子设备、系统和存储介质。


背景技术：

2.超文本传输安全协议(hyper text transfer protocol over secure socket layer，https)协议是一种可进行加密传输、身份认证的网络协议，可防止数据在传输过程中被窃取、改变，确保数据的完整性。随着网络安全问题越来越被重视，https协议的使用也越来越普遍。在https协议的使用过程中，需要给终端提供数字证书以保证通信安全，但数字证书由于种种原因，可能无效。现有技术中，当数字证书无效时，往往需要用户在终端操作，手动申请、下载最新版本的数字证书，用户操作比较繁琐，给用户带来了不便。


技术实现要素：

3.本发明实施例提供一种数字证书获取方法、装置、电子设备、系统和存储介质，可以简化用户操作，给用户带来便利。
4.第一方面，本发明实施例提供了一种数字证书获取方法，应用于代理服务器(比如nginx)，代理服务器中安装有预设软件开发工具包(software development kit，sdk)，该方法包括：
5.加载目标业务服务器的第一数字证书，并获取所述第一数字证书的标识信息；
6.调用预设sdk基于所述第一数字证书的标识信息查询所述第一数字证书的状态；
7.当所述第一数字证书的状态为无效时，调用所述预设sdk下载所述目标业务服务器的第二数字证书；
8.向终端发送所述第二数字证书，以使得所述终端基于所述第二数字证书与所述目标业务服务器建立通信连接。
9.第二方面，本发明实施例还提供了一种数字证书获取装置，应用于代理服务器，所述代理服务器中安装有预设软件开发工具包sdk，该装置包括：
10.获取模块，用于加载目标业务服务器的第一数字证书，并获取所述第一数字证书的标识信息；
11.查询模块，用于调用预设sdk基于所述第一数字证书的标识信息查询所述第一数字证书的状态；
12.下载模块，用于当所述第一数字证书的状态为无效时，调用所述预设sdk下载所述目标业务服务器的第二数字证书；
13.发送模块，用于向终端发送所述第二数字证书，以使得所述终端基于所述第二数字证书与所述目标业务服务器建立通信连接。
14.第三方面，本发明实施例还提供了一种数字证书获取系统，包括终端、在线证书状态协议(online certificate status protocol，ocsp)服务器、证书颁发机构ca
(certificate authority，ca)服务器、目标业务服务器以及用于执行如本发明实施例任一所述的数字证书获取方法的代理服务器。
15.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例任一所述的数字证书获取方法。
16.本发明实施例中，代理服务器中安装有预设sdk，在加载目标业务服务器的第一数字证书，并获取第一数字证书的标识信息之后，代理服务器会调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态；当第一数字证书的状态为无效时，调用预设sdk下载目标业务服务器的第二数字证书；向终端发送第二数字证书，以使得终端基于第二数字证书与目标业务服务器建立通信连接。即本发明实施例中，代理服务器可以利用预设sdk自动查询数字证书的状态，并在数字证书无效时，自动下载新的数字证书并将新的数字证书反馈给终端，以使得终端基于新的数字证书与目标业务服务器建立通信连接，整个数字证书的获取过程，通过代理服务器中的sdk自动实现，不需要用户参与操作，给用户带来了便利。
17.另外，由于代理服务器中具有用于数字证书状态确认及获取的sdk，代理服务器可以和多种终端通信，从而可以为多种终端提供证书自动获取服务，应用场景广泛。
附图说明
18.图1是本发明实施例提供的数字证书获取方法的一个流程示意图。
19.图2是本发明实施例提供的数字证书获取方法的另一流程示意图。
20.图3是本发明实施例提供的数字证书获取装置的一个结构示意图。
21.图4是本发明实施例提供的数字证书获取系统的一个结构示意图。
22.图5是本发明实施例提供的电子设备的一个结构示意图。
具体实施方式
23.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
24.图1为本发明实施例提供的数字证书获取方法的一个流程示意图，本实施例可适用于在数字证书失效时，代理服务器自动为终端下载最新版数字证书的情况，该方法可以由数字证书获取装置来执行，该装置可以采用硬件和/或软件的方式来实现。在一个具体的实施例中，该装置可集成在代理服务器中，代理服务器可以是nginx。以下实施例将以该装置集成在代理服务器中为例进行说明，如图1所示，该方法具体可以包括如下步骤：
25.步骤101：加载目标业务服务器的第一数字证书，并获取第一数字证书的标识信息。
26.其中，业务服务器可以是为终端用户提供各种业务数据的服务器，比如可以是页面服务器、应用服务器等，业务数据比如可以是网页、图片、表格等，此处不做具体限定，目标业务服务器可以是当前终端请求访问的业务服务器。具体的，代理服务器可以调用预设sdk从证书颁发机构ca服务器下载各个业务服务器的第一数字证书，其中各个业务服务器包括目标业务服务器。
27.示例地，预设sdk可以预先配置在代理服务器中，代理服务器可以调用预设sdk访问公钥基础设施(public key infrastructure，pki)下载各个业务服务器的数字证书，pki的基础技术包括：公钥加密、数字签名、数据完整性机制、数字信封(混合加密)和双重数字签名等技术，pki能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性等功能。
28.ca服务器是pki的核心，ca服务器能够实现的功能包括处理数字证书申请、发放数字证书、更新数字证书、接受最终用户数字证书的查询、撤销产生、发布数字证书吊销列表(certificate revocation list，crl)和数字证书归档等功能。
29.示例的，代理服务器调用预设sdk访问pki服务发送加载keystore的请求，keystore是一个文件，该文件存储在keytool中，keytool是一个数据证书的管理工具，keytool将密钥和证书存在一个命名为keystore的文件中，keystore文件包括密钥或私钥和配对公钥(采用非对称加密)以及可信任的证书实体。通过调用预设sdk下载各个业务服务器的数字证书具体包括以下步骤：
30.1)调用预设sdk向pki服务发送下载keystore的请求，pki服务收到请求后，keytool可以生成一个带有自签名的ca数字证书，可以用于给终端和业务服务器的数字证书签名，为业务服务器生成一对密钥(带有自签名的ca数字证书)并存储在一个文件夹中。keytool请求ca服务器为业务服务器的自签名数字证书签名，生成一个签名请求文件。
31.2)代理服务器得到ca服务器为业务服务器签名过的数字证书，并将得到的数字证书导出存储在一个本地文件夹中。
32.3)代理服务器更新业务服务器的数字证书，该数字证书被ca服务器签名后，ca服务器的数字证书也保存在本地文件夹中，形成完整的证书链。
33.进一步地，代理服务器可以得到各个业务服务器的数字证书并存储数字证书。代理服务器完成装载keystore，下载并存储各个业务服务器的数字证书后，可以验证数字证书的状态。
34.代理服务器可以通过访问pki中的ocsp协议查询第一数字证书的状态，ocsp协议是一种相对简单的请求/响应协议。当代理服务器需要检查一个或多个数字证书状态时，代理服务器可以与ocsp服务器建立连接，生成一个ocsp请求消息，该消息中包含了识别待查询数字证书所需要的信息，例如证书序列号、证书发布者的名称、证书发布者的公钥信息以及所使用的加密算法，另外还可能包含一些可选项，如nonce值(用于绑定一个请求和对应的响应)、请求者名称、对请求的签名和其他任何必要的扩展信息。代理服务器通过调用预设sdk向ocsp服务器提交该ocsp请求信息，并等待ocsp服务器返回一个确定的响应，该响应包括回复证书的状态信息，回复的证书状态信息可以是“正常”、“过期”或“吊销”，“正常”状态表示这张证书没有被吊销，证书处于有效状态；“吊销”状态表示证书已被吊销，证书无效；“过期”表示证书已过期，证书无效。
35.代理服务器可以通过配置好的sdk获取ocsp服务器的地址，向ocsp服务器发出查询证书状态请求并得到数字证书的状态信息，当数字证书状态为有效时，则代理服务器存储该数字证书，当数字证书状态无效时，代理服务器可以重新加载keystore下载数字证书。
36.进一步地，代理服务器存储下载到的业务服务器的数字证书，调用预设sdk从存储的业务服务器的数字证书中加载目标业务服务器的第一数字证书，具体的，第一数字证书
中可以包括证书序列号、证书名称、证书过期时间、站点组织名、站点域名系统(domain name system，dns)主机名、站点公钥、证书颁发者名和证书签名等信息。第一数字证书的标识信息可以是第一数字证书的证书序列号或第一数字证书的名称等信息。
37.步骤102：调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态。
38.示例地，预设sdk可以预先配置在代理服务器中，终端可以通过代理服务器调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态。比如，代理服务器可以通过访问pki中的ocsp协议查询第一数字证书的状态，代理服务器可以与ocsp服务器建立连接，生成一个ocsp请求消息并等待ocsp服务器返回一个确定的响应，该响应包括回复证书的状态信息，回复的证书状态信息可以是“正常”、“过期”或“吊销”，“正常”状态表示这张证书没有被吊销，证书处于有效状态；“吊销”状态表示证书已被吊销，证书无效；“过期”表示证书已过期，证书无效。代理服务器可以通过配置好的sdk获取ocsp服务器的地址，向ocsp服务器发出查询证书状态请求并得到第一数字证书的状态信息，当第一数字证书状态为有效时，则代理服务器向终端发送第一数字证书，使得终端基于第一数字证书与业务服务器建立通信连接。
39.步骤103：当第一数字证书的状态为无效时，调用预设sdk下载目标业务服务器的第二数字证书。
40.在确定了第一数字证书状态后，如果第一数字证书的状态为无效，代理服务器可以调用预设sdk访问ca服务器获取第二数字证书，其中第二数字证书的版本可以高于第一数字证书的版本。代理服务器可以调用预设sdk向ca服务器发送第二数字证书的申请请求，ca服务器收到第二数字证书申请并认证用户的身份信息后，可以将终端的公钥、身份信息、数字证书的有效期等信息作为消息原文，并用ca服务器的私钥加密进行签名形成数字签名，数字签名与第二数字证书拥有者(终端)的公钥、身份信息、第二数字证书有效期等其他信息共同组成第二数字证书。代理服务器可以从ca服务器中下载第二数字证书。
41.步骤104：向终端发送第二数字证书，以使得终端基于第二数字证书与目标业务服务器建立通信连接。
42.在代理服务器获取到第二数字证书后，进一步地，代理服务器可以调用预设sdk基于第二数字证书的标识信息，发送第二数字证书状态查询的请求给ocsp服务器，查询第二数字证书的状态，当第二数字证书的状态为有效时，代理服务器向终端发送第二数字证书，使得终端基于第二数字证书与业务服务器建立通信连接。
43.本实施例的技术方案，通过加载目标业务服务器的第一数字证书，并获取第一数字证书的标识信息；调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态；当第一数字证书的状态为无效时，调用预设sdk下载目标业务服务器的第二数字证书；向终端发送第二数字证书，以使得终端基于第二数字证书与目标业务服务器建立通信连接。即本发明实施例中，代理服务器可以利用预设sdk自动查询数字证书的状态，并在数字证书无效时，自动下载新的数字证书并将新的数字证书反馈给终端，以使得终端基于新的数字证书与目标业务服务器建立通信连接，整个数字证书的获取过程，通过代理服务器中的sdk自动实现，不需要用户参与操作，给用户带来了便利。
44.下面进一步说明本发明实施例提供的数字证书获取方法，具体的方法可如图2所示，该方法可以包括如下步骤：
45.步骤201、调用预设sdk从证书颁发机构ca服务器下载各个业务服务器的第一数字证书并存储。
46.预设sdk可以预先配置在代理服务器中，代理服务器可以调用预设sdk访问pki下载各个业务服务器的数字证书，下载完成之后，可以将各个业务服务器的域名与数字证书对应存储。
47.示例的，代理服务器可以调用预设sdk访问pki服务加载keystore，通过调用预设sdk从ca服务器下载各个业务服务器的数字证书的具体过程如步骤101所述，在此不再赘述。
48.步骤202、接收终端发送的访问请求，访问请求中包括目标业务服务器的域名。
49.示例的，终端可以向代理服务器发送访问请求，访问请求中包括目标业务服务器的域名。代理服务器接收终端发送的访问请求，对访问请求进行解析，从而得到目标业务服务器的域名。
50.步骤203、基于域名从存储的各个业务服务器的第一数字证书中加载目标业务服务器的第一数字证书。
51.示例的，代理服务器可以基于解析得到的域名查询存储，从而得到目标业务服务器的第一数字证书。
52.步骤204、获取第一数字证书的标识信息。
53.具体地，第一数字证书中可以包括证书序列号、证书名称、证书过期时间、站点组织名、dns主机名、站点公钥、证书颁发者名和证书签名等信息。第一数字证书的标识信息可以是第一数字证书序列号或第一数字证书的名称等信息。
54.步骤205、调用预设sdk基于第一数字证书的标识信息向在线证书状态协议ocsp服务器发送ocsp请求。
55.示例地，预设sdk可以预先配置在代理服务器中，代理服务器可以调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态。比如，代理服务器可以发送第一数字证书状态查询给ocsp服务器，并且等待直到ocsp服务器返回一个响应，ocsp请求中可以包含以下数据：协议版本、服务请求、第一数字证书标识信息和可选的扩展项等数据。
56.示例的，一个ocsp请求包括请求信息和对请求信息的签名，其中请求信息的签名是可选的。如果ocsp服务器被设置为接收有签名的请求，而实际收到的请求没有签名时，ocsp服务器就返回一个“需要签名”的出错信息。请求信息包括版本号、请求者名称(可选)、请求列表和可选的扩展项，一个ocsp请求可查询多个证书的状态。
57.步骤206、接收ocsp服务器反馈的ocsp响应。
58.在代理服务器发送数字证书状态查询的请求给ocsp服务器后，ocsp服务器会对收到的请求返回一个响应，当ocsp服务器返回出错信息时，该响应不用签名。出错信息包括请求编码格式不正确、内部错误、稍后再试、请求需要签名、和未授权等信息。ocsp服务器返回确定的回复时，该响应必须进行数字签名。一个确定的回复信息包括ocsp服务器版本号、ocsp服务器名称、对每一张被请求数字证书的回复、可选扩展项签名算法对象标识和签名值等信息。
59.示例的，一个ocsp响应通常包括响应状态和响应字节，如果响应状态为某一种出错情况，那么响应字节将不被设置。响应状态有六种取值：一种是“成功”，表示ocsp服务器
对接收到的请求返回一个确定的回复。另外五种为出错信息：出错信息包括请求编码格式不正确、内部错误、稍后再试、请求需要签名和未授权。如果接收到一个没有遵循ocsp服务器语法规范的请求，服务器返回“请求编码格式不正确”，响应状态为“内部错误”，表示ocsp服务器处于一个不协调的内部状态，请求需要再次尝试；如果ocsp服务器正在工作，但是不能返回被请求数字证书的状态，响应状态为“稍后再试”；当ocsp服务器需要签名请求后才能产生一个响应时，响应状态为“请求需要签名”；当未被授权允许向ocsp服务器发送请求时，响应状态为“未授权”。其中，响应字节的值由响应类型标识和一个编码成字符串的响应信息组成；响应信息的值是基本ocsp响应的编码；签名值是对响应数据的签名结果，其中响应数据包括版本号、ocsp服务器标识、响应产生时间、响应列表和可选的扩展项。如果一个ocsp请求中包含多个数字证书的查询请求，那么响应列表就列出请求中所有数字证书状态的响应。每个数字证书状态响应包含数字证书标识信息、数字证书状态、本次更新时间、下次更新时间(可选)和扩展项，数字证书状态可能包括如下三种情况:正常、过期或吊销。
60.步骤207、基于ocsp响应确定所述第一数字证书的状态。
61.如上述步骤所述，ocsp服务器在对每一张被请求数字证书的回复中包含有数字证书状态值，其数字证书状态值可以是“正常”、“过期”或“吊销(失效)”，“正常”状态表示第一数字证书此时没有被撤消，第一数字证书是有效的，当ocsp服务器返回第一数字证书状态为“正常”时，则代理服务器将第一数字证书发送给终端，使得终端基于第一数字证书与业务服务器建立通信连接。当oscp服务器返回第一数字证书状态为“吊销”时，表示第一数字证书已被吊销，无法正常与业务服务器建立通信连接。当oscp服务器返回第一数字证书状态为“过期”时，表示证书已过期，证书无效。
62.步骤208、确定第一数字证书的状态是否有效。
63.根据上述步骤，接收ocsp响应的第一数字证书的状态，进一步确定第一数字证书的状态是有效还是无效的，当第一数字证书状态是有效的时候，执行步骤215，当第一数字状态是无效的时候，执行步骤209。
64.步骤209、获取目标业务服务器的域名。
65.示例地，代理服务器可以对终端发送的访问请求进行解析，从而得到目标业务服务器的域名，也可以获取预先设置或存储的目标业务服务器的域名。
66.步骤210、调用预设sdk基于域名从ca服务器下载目标业务服务器的第二数字证书。
67.在获取到业务服务器的域名信息后，调用预设sdk基于当前业务服务器的域名信息从证书颁发机构ca服务器下载业务服务器的第二数字证书。示例的，代理服务器从ca服务器下载第二数字证书具体包括：
68.代理服务器向ca服务器发送业务服务器的数字证书申请消息，在数字证书的申请过程中使用安全套接字协议(secure sockets layer，ssl)安全方式与ca服务器建立连接，填写个人信息，浏览器生成私钥和公钥对，将私钥保存到代理服务器特定文件中，并且要求用口令保护私钥，同时将公钥和个人信息提交给安全服务器。安全服务器将用户的申请信息传送给注册机构服务器(registration authority，ra)。代理服务器将用户的身份信息发送给ra服务器，ra服务器对应的操作员利用浏览器与ra服务器建立ssl安全通信，ra服务器需要对操作员进行严格的身份认证，包括操作员的数字证书和ip地址等信息。ra服务器
操作员核对用户信息，并且可以进行适当的修改，如果ra服务器操作员同意用户申请证书请求，必须对证书申请信息进行数字签名。ra服务器操作员与ra服务器之间的所有通信都采用加密和签名，具有安全性和抗否认性，保证了该通信过程的安全性和有效性。ra服务器审核通过后，ra服务器将用户信息以及数字证书的标识信息等信息传递到ca服务器，ca服务器接收到信息后，到密钥管理中心(key management center，kmc)中取密钥对，其中密钥对由加密机生成。ca服务器把用户信息和从kmc中取到的公钥制作成新的数字证书，为新的数字证书签名，代理服务器可以从ca服务器获取到数字证书。
69.进一步地，在调用预设sdk从ca服务器下载第二数字证书之后，可以将第二数字证书发送给终端，终端可以安装第二数字证书并删除第一数字证书。
70.步骤211、获取第二数字证书的标识信息。
71.第二数字证书的标识信息可以是第二数字证书的证书序列号或第二数字证书的名称等信息。
72.步骤212、调用预设sdk基于第二数字证书的标识信息查询第二数字证书的状态。
73.具体的，代理服务器可以调用预设sdk基于第二数字证书的标识信息发送证书状态查询请求给ocsp服务器，并且等待直到服务器返回一个响应。在代理服务器发送证书状态查询的请求给ocsp服务器后，ocsp服务器会对收到的请求返回一个响应，该响应包含一个确定的回复信息，其回复信息包括服务器版本号、服务器名称、对第二数字证书的回复、可选扩展项签名算法对象标识和签名值等信息。其中对第二数字证书的回复信息包括第二数字证书的状态信息，其状态信息可以是“正常”“过期”或已“吊销”，“正常”状态表示这张证书没有被吊销，证书处于有效状态；“吊销”状态表示证书已被吊销；“过期”表示证书已过期，证书无效。
74.步骤213、确定第二数字证书状态是否有效。
75.ocsp服务器在对每一张被请求数字证书的回复中包含有数字证书状态值，其数字证书状态值可以是“正常”、“过期”(失效)或“吊销(失效)”，“正常”状态表示第二数字证书此时没有被撤消，第二数字证书是有效的，当ocsp服务器返回第二数字证书状态为“正常”时，则执行步骤214。当第二数字证书状态为无效时，结束此次通信。
76.步骤214、向终端发送第二数字证书，以使得终端基于所述第二数字证书与目标业务服务器建立通信连接。
77.当第二数字证书的状态为有效时，代理服务器向终端发送第二数字证书，终端基于第二数字证书与业务服务器建立通信连接。
78.步骤215、向终端发送第一数字证书，以使得终端基于第一数字证书与目标业务服务器建立通信连接。
79.当第一数字证书的状态为有效时，代理服务器向终端发送第一数字证书，终端基于第一数字证书与业务服务器建立通信连接。
80.本实施例的技术方案，通过调用预设sdk从证书颁发机构ca服务器下载各个业务服务器的第一数字证书并存储；接收终端发送的访问请求，访问请求中包括目标业务服务器的域名；基于域名从存储的各个业务服务器的第一数字证书中加载目标业务服务器的第一数字证书；加载目标业务服务器的第一数字证书，并获取第一数字证书的标识信息；调用预设sdk基于第一数字证书的标识信息向在线证书状态协议ocsp服务器发送ocsp请求；接
收ocsp服务器反馈的ocsp响应；基于ocsp响应确定所述第一数字证书的状态；确定第一数字证书的状态是否有效；获取目标业务服务器的域名；调用预设sdk基于域名从ca服务器下载目标业务服务器的第二数字证书；获取第二数字证书的标识信息；调用预设sdk基于第二数字证书的标识信息查询第二数字证书的状态；确定第二数字证书状态是否有效；向终端发送第二数字证书，以使得终端基于所述第二数字证书与目标业务服务器建立通信连接；向终端发送第一数字证书，以使得终端基于第一数字证书与目标业务服务器建立通信连接。即本发明实施例中，代理服务器可以利用预设sdk自动查询数字证书的状态，并在数字证书无效时，自动下载新的数字证书并将新的数字证书反馈给终端，以使得终端基于新的数字证书与目标业务服务器建立通信连接，整个数字证书的获取过程，通过代理服务器中的sdk自动实现，不需要用户参与操作，给用户带来了便利。
81.图3是本发明实施例提供的一种数字证书获取装置的一个结构图，该装置适用于执行本发明实施例提供的数字证书获取方法。如图3所示，该装置具体可以包括：
82.获取模块301，用于加载目标业务服务器的第一数字证书，并获取所述第一数字证书的标识信息；
83.查询模块302，用于调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态；
84.下载模块303，用于当第一数字证书的状态为无效时，调用预设sdk下载目标业务服务器的第二数字证书；
85.发送模块304，用于向终端发送第二数字证书，以使得终端基于第二数字证书与所述目标业务服务器建立通信连接。
86.可选的，所述下载模块303还用于：
87.调用预设sdk从证书颁发机构ca服务器下载各个业务服务器的第一数字证书并存储；
88.所述获取模块301加载目标业务服务器的第一数字证书，具体包括：
89.从存储的各个业务服务器的第一数字证书中加载目标业务服务器的第一数字证书。
90.可选的，所述获取模块301加载目标业务服务器的第一数字证书，具体包括：
91.接收终端发送的访问请求，所述访问请求中包括所述目标业务服务器的域名；
92.基于所述域名从存储的所述各个业务服务器的第一数字证书中加载所述目标业务服务器的第一数字证书。
93.可选的，所述查询模块302具体用于：
94.调用所述预设sdk基于所述第一数字证书的标识信息向在线证书状态协议ocsp服务器发送ocsp请求；
95.接收所述ocsp服务器反馈的ocsp响应；
96.基于所述ocsp响应确定所述第一数字证书的状态。
97.可选的，所述下载模块303具体用于：
98.调用所述预设sdk下载目标业务服务器的第二数字证书。
99.可选的，所述下载模块303具体用于：
100.获取所述目标业务服务器的域名；
101.调用所述预设sdk基于所述域名从所述ca服务器下载所述目标业务服务器的第二数字证书。
102.可选的，所述获取模块301还用于，获取所述第二数字证书的标识信息；
103.所述查询模块302还用于，调用所述预设sdk基于所述第二数字证书的标识信息查询所述第二数字证书的状态；
104.所述发送模块304具体用于，当所述第二数字证书的状态为有效时，向终端发送所述第二数字证书，以使得所述终端基于所述第二数字证书与所述目标业务服务器建立通信连接。
105.本发明实施例所提供的数字证书获取装置可执行本发明任意实施例所提供的数字证书获取方法，具备执行方法相应的功能模块和有益效果。本实施例中未详尽描述的内容可以参考本发明任意方法实施例中的描述。
106.本发明实施例还提供了一种数字证书获取系统，如图4所示，包括终端401、代理服务器402、ocsp服务器403、ca服务器404和业务服务器405。
107.终端401用于：向代理服务器403发送访问请求，其中访问请求包括目标业务服务器域名，接收代理服务器403发送的第一数字证书或第二数字证书，当接收到第一数字证书时，基于第一数字证书与目标业务服务器405建立通信连接，或者当接收到第二数字证书时，基于第二数字证书与目标业务服务器405建立通信连接。
108.代理服务器402用于：向ca服务器发送证书下载请求并存储各个业务服务器的数字证书，接收终端401发送的访问请求，加载目标业务服务器第一数字证书，获取第一数字证书的标识信息，基于第一数字证书的标识信息向ocsp服务器403发送ocsp请求，接收ocsp服务器403反馈的ocsp响应，基于ocsp响应确定第一数字证书的状态；在第一数字证书的状态为有效时，向终端发送第一数字证书，使得终端可以基于第一数字证书与目标业务服务器405建立通信连接；在第一数字证书的状态为无效时，可以向ca服务器404发送证书下载请求，以从ca服务器404下载业务服务器405的第二数字证书；在下载得到第二数字证书之后，可以获取第二数字证书的标识信息，基于第二数字证书的标识信息向ocsp服务器403发送ocsp请求，接收ocsp服务器403反馈的ocsp响应，基于ocsp响应确定第二数字证书的状态；在第二数字证书的状态为有效时，向终端发送第二数字证书，以使得终端基于第二数字证书与目标业务服务器405建立通信连接。
109.ocsp服务器403用于：接收代理服务器402发送的ocsp请求并做出ocsp响应。
110.ca服务器404用于：接收代理服务器402的证书下载请求，并向代理服务器发送各个业务服务器的第一数字证书和目标业务服务器的第二数字证书。
111.目标业务服务器405用于：基于有效的数字证书(比如第一数字证书或第二数字证书)与终端401建立通信连接。
112.具体数字证书获取方法的其他实现细节可参阅前面实施例的描述，此处不再赘述。
113.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。
114.参考图5，其示出了适于用来实现本发明实施例的终端的计算机系统500的结构示意图。图5示出的终端仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
115.如图5所示，计算机系统500包括中央处理单元(cpu)501，其可以根据存储在只读存储器(rom)502中的程序或者从存储部分508加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram 503中，还存储有系统500操作所需的各种程序和数据。cpu 501、rom 502以及ram 503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
116.以下部件连接至i/o接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。
117.特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(cpu)501执行时，执行本发明的系统中限定的上述功能。
118.需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
119.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所
标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
120.描述于本发明实施例中所涉及到的模块和/或单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中，例如，可以描述为：一种处理器包括获取模块、查询模块、下载模块和发送模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定。
121.作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：加载目标业务服务器的第一数字证书，并获取所述第一数字证书的标识信息；调用预设sdk基于所述第一数字证书的标识信息查询所述第一数字证书的状态；当所述第一数字证书的状态为无效时，调用所述预设sdk下载所述目标业务服务器的第二数字证书；向终端发送所述第二数字证书，以使得所述终端基于所述第二数字证书与所述目标业务服务器建立通信连接。
122.根据本发明实施例的技术方案，代理服务器中安装有sdk，在加载目标业务服务器的第一数字证书，并获取第一数字证书的标识信息之后，代理服务器会调用预设sdk基于第一数字证书的标识信息查询第一数字证书的状态；当第一数字证书的状态为无效时，调用预设sdk下载目标业务服务器的第二数字证书；向终端发送第二数字证书，以使得终端基于第二数字证书与目标业务服务器建立通信连接。即本发明实施例中，代理服务器可以利用预设sdk自动查询数字证书的状态，并在数字证书无效时，自动下载新的数字证书并将新的数字证书反馈给终端，以使得终端基于新的数字证书与目标业务服务器建立通信连接，整个数字证书的获取过程，通过代理服务器中的sdk自动实现，不需要用户参与操作，给用户带来了便利。
123.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。