[发明专利]一种证书签发系统及相关设备

说明书

一种证书签发系统，该系统包括第一计算设备和第二计算设备，第一计算设备包括用于存储生成可信身份密钥的信息的可信单元，该第二计算设备用于认证该第一计算设备和签发证书。具体地，第一计算设备向第二计算设备发送身份认证请求，该请求携带可信身份密钥；第二计算设备根据该请求携带的可信身份密钥进行认证；若认证通过，第二计算设备向第一计算设备发送登录凭证；之后，第一计算设备可以通过该登录凭证向第二计算设备申请证书。本申请实施例，第一计算设备可以基于可信单元通过可信身份密钥实现可信的身份认证，而不是采用固定的Token进行身份认证，从而可以提高身份认证的安全性，进而可以提高证书签发的安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种证书签发系统及相关设备。

背景技术

Kubernetes是一个用于容器集群的自动化部署、扩容以及运维的开源平台。其具有容灾恢复、水平扩容(弹性伸缩)、服务发现、负载均衡、版本回退、存储编排等功能，广泛应用于计算机集群的搭建与管理。

Kubernetes集群主要包括管控节点(control node)和工作节点(worker node)。当集群开启了传输层安全协议(transport layer security，TLS)认证后，每个工作节点的kubelet组件都要通过一个有效证书才能与管控节点中的kube-apiserver进行通信，该有效证书是由管控节点中的kube-controller-manager签发的。

为了提高证书签署的效率，Kubernetes推出了TLS bootstrapping功能，以实现为kubelet自动签署证书。TLS bootstrapping功能需要为Kubernetes集群(kube-apiserver和各个工作节点)预设一个低权限用户。之后，工作节点的kubelet可以通过该低权限用户的Token进行身份认证，以及向kube-apiserver申请证书。在这种情况下，如果用户信息(预设用户的Token等)泄漏，第三方也可以通过这些用户信息向kube-apiserver申请证书，然后伪装成正常的工作节点加入集群，之后可以获取到集群中的敏感信息，以致安全性较低。

发明内容

本申请实施例公开了一种证书签发系统及相关设备，用于提高身份认证的安全性和证书签发的安全性。

第一方面公开一种证书签发系统，该证书签发系统可以包括第一计算设备和第二计算设备，该第一计算设备包括用于存储生成可信身份密钥的信息的可信单元；该第二计算设备用于认证该第一计算设备和签发证书。具体地：该第一计算设备向该第二计算设备发送身份认证请求；其中，该身份认证请求携带可信身份密钥；该身份认证请求用于获取登录凭证；该第二计算设备根据该身份认证请求携带的可信身份密钥认证该第一计算设备；若该第一计算设备通过认证，该第二计算设备向该第一计算设备发送登录凭证；该第一计算设备向该第二计算设备发送证书签署请求；该证书签署请求中携带该登录凭证；该证书签署请求用于获取签名证书；该第二计算设备根据该证书签署请求携带的该登录凭证验证该第一计算设备；若该第一计算设备通过验证，该第二计算设备向该第一计算设备发送签名证书；该第一计算设备接收该签名证书。

本申请实施例中，第一计算设备可以基于可信单元通过可信身份密钥实现可信的身份认证，而不是采用固定的Token进行身份认证，从而可以提高身份认证的安全性，进而可以提高证书签发的安全性。此外，第二计算设备还根据证书签署请求携带的登录凭证验证第一计算设备，这样，可以进一步提高证书签发的安全性。

应理解，上述第一计算设备可以为计算集群中的任一个工作节点，上述第二计算设备可以为计算集群的管控面中的任一个管控节点。

作为一种可能的实施方式，该生成可信身份密钥的信息包括该第一计算设备的身份信息和该第一计算设备的第一公钥；该第一计算设备向该第二计算设备发送身份认证请求之前，包括：该第一计算设备采用该可信单元加密该身份信息；该第一设备将该第一公钥与加密的身份信息封装为可信身份密钥。