▶ アマゾン・テクノロジーズ、インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-28
(45)【発行日】2023-12-06
(54)【発明の名称】長期デジタル証明書の検証に基づく短期デジタル証明書の発行
(51)【国際特許分類】
H04L 9/32 20060101AFI20231129BHJP
G06F 21/33 20130101ALI20231129BHJP
【FI】
H04L9/32 200D
H04L9/32 200F
G06F21/33
【請求項の数】
15
【外国語出願】
(21)【出願番号】P 2022001322
(22)【出願日】2022-01-06
(62)【分割の表示】P 2019096699の分割
【原出願日】2015-12-14
(65)【公開番号】P2022050548
(43)【公開日】2022-03-30
【審査請求日】2022-02-02
(31)【優先権主張番号】14/570,867
(32)【優先日】2014-12-15
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】506223509
【氏名又は名称】アマゾン・テクノロジーズ、インコーポレイテッド
(74)【代理人】
【識別番号】110000877
【氏名又は名称】弁理士法人RYUKA国際特許事務所
(72)【発明者】
【氏名】ボウェン、ピーター ザチャリー
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2005-129066(JP,A)
【文献】矢野尾 一男 ほか,情報漏洩対策システムInfoCageのアクセス制御方式,第67回(平成17年)全国大会講演論文集(3),社団法人 情報処理学会,2005年03月02日,p.3-297-3-298
【文献】吉川 和巳,「だれもがroot」を解消するHPのセキュアOS機能,UNIX magazine,日本,株式会社アスキー,2007年04月01日,Vol.22 No.2,p.44-51
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/33
JSTPlus/JMEDPlus/JST7580(JDreamIII)
(57)【特許請求の範囲】
【請求項1】
エンティティに関連付けられたサーバの認証に使用可能な短期の第二のデジタル証明書を発行するためのリクエストを前記エンティティから受信することであって、前記リクエストは、前記サーバの認証に使用可能でない長期の第一のデジタル証明書を含む、受信すること、前記第一のデジタル証明書内で規定される第一の有効期間に少なくとも部分的に基づいて、前記第二のデジタル証明書を発行するか否かを決定すること、
前記第一の有効期間よりも短い、前記第二のデジタル証明書内で規定される第二の有効期間を有する前記第二のデジタル証明書を発行すること、
を含み、
前記第一のデジタル証明書は、拡張子を含み、前記拡張子は、前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止するように構成される、コンピュータ実施方法。
【請求項2】
前記リクエストは、デジタル署名を含み、前記第一のデジタル証明書により規定された第一の公開暗号鍵を用いて、前記デジタル署名を検証すること、を更に含む、請求項1に記載のコンピュータ実施方法。
【請求項3】
前記第一のデジタル証明書が、期限を満了しておらず前記第二のデジタル証明書の発行のために利用できることを確かめるために、前記第一の有効期間を用いること、を更に含む、請求項1または2に記載のコンピュータ実施方法。
【請求項4】
前記第二のデジタル証明書は、前記第一のデジタル証明書内に含まれない1または複数のサブジェクトフィールドを有するように発行される、請求項1または2に記載のコンピュータ実施方法。
【請求項5】
1または複数のプロセッサと、コンピュータ実行可能命令を記憶するメモリと、を含み、
前記コンピュータ実行可能命令は、実行されると前記1または複数のプロセッサに、
エンティティに関連付けられたサーバの認証に使用可能な短期の第二のデジタル証明書を発行するためのリクエストを前記エンティティから受信させ、前記リクエストは、前記サーバの認証に使用可能でない長期の第一のデジタル証明書を含み、
前記第一のデジタル証明書内で規定される第一の有効期間に少なくとも部分的に基づいて、前記第二のデジタル証明書を発行するか否かを決定させ、
前記第一の有効期間よりも短い、前記第二のデジタル証明書内で規定される第二の有効期間を有する前記第二のデジタル証明書を発行させ、
前記第一のデジタル証明書は、拡張子を含み、前記拡張子は、前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止するように構成される、システム。
【請求項6】
前記拡張子が、前記第一のデジタル証明書の発行よりも前の前記エンティティの検証の日付、前記エンティティを検証するために利用される一つ以上の基準、及び前記エンティティに対応する識別子を規定する、請求項5に記載のシステム。
【請求項7】
前記第二のデジタル証明書は、前記第一のデジタル証明書内で規定されない1または複数のサブジェクトフィールドを含む、請求項5または6に記載のシステム。
【請求項8】
前記第一のデジタル証明書は、第一の秘密暗号鍵に対応する第一の公開暗号鍵を規定する、請求項5または6に記載のシステム。
【請求項9】
前記リクエストは、前記第一の公開暗号鍵に対応する前記第一の秘密暗号鍵を利用してデジタル署名される、請求項8に記載のシステム。
【請求項10】
前記第二のデジタル証明書は、前記第一のデジタル証明書内で規定された前記第一の公開暗号鍵とは異なる第二の公開暗号鍵を含む、請求項8に記載のシステム。
【請求項11】
前記第一のデジタル証明書は、X.509デジタル証明書である、請求項5または6に記載のシステム。
【請求項12】
実行可能命令を含み、前記実行可能命令は、コンピュータシステムの1または複数のプロセッサにより実行されると、前記コンピュータシステムに、少なくとも、
エンティティに関連付けられたサーバの認証に使用可能な短期の第二のデジタル証明書を発行するためのリクエストに応答して、前記リクエストに含まれる、前記サーバの認証に使用可能でない長期の第一のデジタル証明書内で規定される第一の有効期間に少なくとも部分的に基づいて、前記第二のデジタル証明書を発行するか否かを決定させ、
前記第一の有効期間よりも短い、前記第二のデジタル証明書内で規定される第二の有効期間を有する前記第二のデジタル証明書を発行させ、
前記第一のデジタル証明書は、拡張子を含み、前記拡張子は、前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止するように構成される、プログラム。
【請求項13】
前記拡張子が、前記第一のデジタル証明書の発行よりも前の前記エンティティの検証の日付、前記エンティティを検証するために利用される一つ以上の基準、及び前記エンティティに対応する識別子を規定する、請求項12に記載のプログラム。
【請求項14】
前記第二のデジタル証明書は、前記第一のデジタル証明書内に含まれない1または複数のサブジェクトフィールドを含む、請求項12または13に記載のプログラム。
【請求項15】
前記実行可能命令は、さらに、前記コンピュータシステムに、前記リクエスト内で前記エンティティによって規定された所望の第二の有効期間を取得させて、前記第二のデジタル証明書を発行するか否かを決定させる、請求項12または13に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願の相互参照]
本願は、2014年12月15日に出願された「SHORT-DURATION DIGITAL CERTIFICATE ISSUANCE BASED ON LONG-DURATION DIGITAL CERTIFICATE VALIDATION」と題された同時係属の米国特許出願第14/570,867号からの優先権を主張し、その内容全体を参照により本明細書に組み込む。
本願は、2014年12月15日に出願された「SHORT-DURATION DIGITAL CERTIFICATE ISSUANCE BASED ON LONG-DURATION DIGITAL CERTIFICATE VALIDATION」と題された同時係属の米国特許出願第14/570,867号からの優先権を主張し、その内容全体を参照により本明細書に組み込む。
【背景技術】
【0002】
証明機関は、通常、カスタマが他のエンティティとの安全な通信を確立でき、かつこれらの他のエンティティがこれらのカスタマを認証できるデジタル証明書をカスタマに発行する。デジタル証明書をカスタマに発行するために、証明機関は、政府データベース、第三者データベース及びサービスを調査するならびに他のカスタマ技術によって、カスタマに関する情報を検証する必要があり得る。カスタマに関する情報を証明機関が検証できる場合には、証明機関は、デジタル証明書を生成してカスタマに発行することができる。しかしながら、そのような検証技術は、時間及び資源について大規模な活動であり得る。故に、複数のデジタル証明書についてのリクエストは、これらのデジタル証明書を取得するのに必要な費用及び時間が相当量になり得るので、望ましくない場合がある。
【0003】
本開示に従うさまざまな実施形態を、図面を参照して記載する。
【図面の簡単な説明】
【0004】
【図1】さまざまな実施形態を実施できる環境の例証となる実施例を示す。
【図2】少なくとも一つの実施形態に従う、証明機関サービスのさまざまな構成要素が集合的に長期デジタル証明書及び短期デジタル証明書をカスタマに発行するように構成された環境の例証となる実施例を示す。
【図3】少なくとも一つの実施形態に従う、証明機関サービスが有効な長期デジタル証明書の受信時に短期デジタル証明書をカスタマに発行する環境の例証となる実施例を示す。
【図4】少なくとも一つの実施形態に従う、ユーザクライアントがカスタマサーバから受信した長期デジタル証明書を拒否する環境の例証となる実施例を示す。
【図5】少なくとも一つの実施形態に従う、ユーザクライアントがカスタマサーバから受信した短期デジタル証明書を利用してカスタマサーバを認証できる環境の例証となる実施例を示す。
【図6】少なくとも一つの実施形態に従う、長期デジタル証明書及び短期デジタル証明書を証明機関サービスから受信するためのプロセスの例証となる実施例を示す。
【図7】少なくとも一つの実施形態に従う、長期デジタル証明書を発行するためのカスタマリクエストに応答して、長期デジタル証明書を生成して発行するためのプロセスの例証となる実施例を示す。
【図8】少なくとも一つの実施形態に従う、カスタマリクエストに応答して、長期デジタル証明書を利用してカスタマを認証して一つ以上の短期デジタル証明書を発行するためのプロセスの例証となる実施例を示す。
【図9】少なくとも一つの実施形態に従う、デジタル証明書を利用してカスタマサーバを認証するためのプロセスの例証となる実施例を示す。
【図10】さまざまな実施形態を実施できる環境の例証となる実施例を示す。
【発明を実施するための形態】
【0005】
以下の記載においてさまざまな実施形態を記載する。説明を目的として、実施形態の徹底的な理解を提供するために、具体的な構成及び詳細を説明する。しかしながら、具体的な詳細がなくても実施形態を実践できることも当業者に明らかである。さらに、記載されている実施形態を曖昧にしないために、周知の特徴は省略または簡略化することがある。
【0006】
本明細書に記載及び提案される技術は、サーバ認証のための短期デジタル証明書をリクエスト及び取得するのに利用できる長期証明書の発行に関する。実施形態において、エンティティ(例えば、組織のコンピューティングデバイス)は、長期デジタル証明書の発行をリクエストするために、サービスを対象とする一つ以上のアプリケーションプログラミングインターフェース(API)コールなどを通じて、証明機関サービスと通信する。エンティティは、さまざまなカスタマが他のエンティティとの安全な通信チャネルを確立でき、かつこれらの他のエンティティが発行されたデジタル証明書の使用を通じてこれらのさまざまなカスタマを認証できるデジタル証明書をこれらのさまざまなカスタマに発行するように構成できる証明機関サービスのこれらのカスタマに関連付くことができる。長期デジタル証明書は、(例えば、1年以上の)長い有効期間をもって発行でき、そして重大としてマークできる拡張子を含むことができる。この重大な拡張子は、ユーザクライアントが重大な拡張子を認識できないように構成されるまたはこの重大な拡張子を拒否するように構成できるので、これらのユーザクライアント(例えば、ユーザコンピューティングデバイスにインストールされたブラウザアプリケーション)がこの長期デジタル証明書を承認することを阻止することができる。
【0007】
証明機関サービスがエンティティを検証して長期デジタル証明書をエンティティに発行できることを保証すると、証明機関サービスは、この長期証明書をエンティティまたはエンティティのサーバに発行することができる。エンティティは、長期デジタル証明書の受信時に、ユーザクライアントとの安全な通信チャネルを確立するのに利用できる短期デジタル証明書をリクエストすることができる。例として、実施形態において、証明機関サービスは、エンティティから、長期デジタル証明書、及び短期デジタル証明書を発行するためのリクエストを受信する。証明機関サービスは、エンティティを認証するために長期デジタル証明書内の規定の情報を確認し、確認すると、短期デジタル証明書をエンティティに発行することができる。短期デジタル証明書は、長期デジタル証明書よりも短い有効期間(例えば、数日、数カ月など)を有することができる。さらに、証明機関サービスは、長期デジタル証明書の残存有効期間に基づいてこの有効期間を決定することができる。例えば、長期デジタル証明書についての残存有効期間が3カ月である場合には、証明機関サービスは、3カ月を超えない有効期間をもつ短期デジタル証明書を発行することができる。
【0008】
実施形態において、エンティティが証明機関サービスから短期デジタル証明書を取得すると、エンティティは、安全な通信チャネルを確立するためのこの短期デジタル証明書をユーザクライアントに提供することができる。ユーザクライアントは、短期デジタル証明書の受信時に、短期デジタル証明書の評価を通じてエンティティの身元を確認し、そして証明機関サービスから取得した公開暗号鍵の使用を通じて短期デジタル証明書内に含まれるデジタル署名を確認することができる。これによりユーザクライアントは、短期デジタル証明書が、証明機関サービスによって発行されたものであり、故に、有効であることを確認することができる。この短期デジタル証明書の利用によって、ユーザクライアントは、エンティティの公開暗号鍵を取得し、この公開暗号鍵を利用して、データを暗号化して安全な通信チャネルを通じてエンティティに伝送することができる。
【0009】
このようにして、エンティティは、各短期デジタル証明書の発行前に実行される大規模な検証プロセスの必要なく、以前に発行された長期デジタル証明書に基づいて、証明機関サービスから複数の短期デジタル証明書を取得することができる。加えて、本明細書に記載及び提案される技術は、追加の技術的利点を促進する。例えば、いくつかの実施形態では、ユーザクライアントが認識できないか、かつ/またはユーザクライアントに長期デジタル証明書を拒否させる拡張子を長期デジタル証明書が含むので、長期デジタル証明書が信用できないとされた事象時に、エンティティが新規の長期デジタル証明書の発行を無効及びリクエストする必要をもはやなくすことができる。さらに、短期デジタル証明書が信用できないとされた場合に、エンティティは、この短期デジタル証明書を無効にし、検証プロセス全体をもう一度行う必要なく、発行された長期デジタル証明書を利用して証明機関サービスから新規の短期デジタル証明書を取得することができる。
【0010】
図1は、さまざまな実施形態を実施できる環境100の例証となる実施例を示す。環境100において、証明機関サービス102は、カスタマによる公開暗号鍵(例えば、デジタル証明書内で識別されるような、名付けられたサブジェクト)の所有を証明できる一つ以上のデジタル証明書の発行を証明機関サービス102のカスタマがリクエストできる証明機関システムを提供できる。これらの一つ以上のデジタル証明書によって、ユーザクライアント106などの他のエンティティ(例えば、ブラウザアプリケーション)が、カスタマの身元を確認し、カスタマとの安全な通信チャネルを確立することによって暗号化された及び暗号化されていないデータを伝送することができる。実施形態において、証明機関サービス102は、長期デジタル証明書が未だ有効である限り、後に短期デジタル証明書を発行するために利用できる長期デジタル証明書についてのリクエストをカスタマから受信する。
【0011】
証明機関サービス102は、長期証明書を発行するためのリクエストをカスタマから受信すると、カスタマが信用でき、かつ証明機関サービス102からデジタル証明書を取得する権限をカスタマに与えることを保証するための一つ以上の検証プロセスを実行することができる。例として、証明機関サービス102は、一つ以上の政府機関、第三者データベースまたは任意の他の信用がある情報リポジトリにアクセスしてカスタマを評価し、カスタマがそう称する者であり、かつカスタマがデジタル証明書について適切に吟味されたことを保証することができる。カスタマが証明機関サービス102によって適切に吟味された場合には、証明機関サービス102は、より短い期限の短期デジタル証明書を取得するのに使用される長期デジタル証明書をカスタマに発行することができる。いくつかの実施形態では、長期デジタル証明書は、デジタル証明書の発行者、証明書についての有効期間、サブジェクト(例えば、カスタマ)、サブジェクトの公開暗号鍵、及び証明機関サービス102のデジタル署名を規定できるX.509証明書である。しかしながら、この長期デジタル証明書は、さらに、長期デジタル証明書が検証目的のみのために利用されることを表すことができる重大な拡張子を規定することができる。この重大な拡張子は、いくつかのユーザクライアント106には認識されず、結果として、これらのユーザクライアント106によって自動的に拒否され得る。あるいは、ユーザクライアント106は、この重大な拡張子を含むあらゆるデジタル証明書を拒否するように構成できる。
【0012】
カスタマがこの長期デジタル証明書を証明機関サービス102から受信すると、カスタマは、一つ以上のカスタマサーバ104を通じて、ユーザクライアント106との安全な通信チャネルを確立するのに使用可能であり、かつユーザクライアント106がカスタマサーバ104を認証できる一つ以上の短期デジタル証明書を取得するためのリクエストを証明機関サービス102に提示することができる。証明機関サービス102へのリクエストは、前述の長期デジタル証明書を含むことができる。一つ以上のカスタマサーバ104からリクエストを受信すると、証明機関サービス102は、長期デジタル証明書を評価して、カスタマの身元を確認し、長期デジタル証明書が未だ有効であることを保証できる。実施形態において、リクエストは、証明機関サービス102が長期デジタル証明書を最初に発行したのと同じエンティティに証明機関サービス102が一つ以上の短期デジタル証明書を発行していることを確実にするために、長期デジタル証明書内に規定された公開暗号鍵に対応するカスタマの秘密暗号鍵を使用してデジタル署名されたものであっても良い。証明機関サービス102は、長期デジタル証明書の公開暗号鍵を使用してデジタル署名を確認することができる。
【0013】
証明機関サービス102は、リクエストを提供したカスタマの身元を確認すると、長期デジタル証明書を評価して、このデジタル証明書についての残存有効期間を決定することができる。証明機関サービス102は、この情報を利用して、一つ以上の短期デジタル証明書内に規定であり得る有効期間を確立することができる。例として、長期デジタル証明書についての残存有効期間が3カ月である場合には、証明機関サービス102は、長期デジタル証明書において規定された残存3カ月期間を超えない有効期間を有する短期デジタル証明書を発行することができる。あるいは、カスタマは、リクエストを通じて、提供された長期デジタル証明書の残存有効期間を所望の有効期間が超えない限り、短期デジタル証明書についての所望の有効期間を指定することができる。
【0014】
証明機関サービス102は、長期デジタル証明書内に規定されたのと同じ公開暗号鍵を含むように短期デジタル証明書を生成することもできる。これにより短期デジタル証明書が長期デジタル証明書についてのプロキシとしての機能を果たし、ユーザクライアント106または他のエンティティにアクセスできるようにすることができる。例として、長期デジタル証明書は、スマートカード、バッジ、または長期デジタル証明書内に格納できた他のデバイスなどの物理的実装を通じてカスタマに発行することができる。カスタマは、リモート位置において、コンピューティングデバイスを通じてスマートカード、バッジまたは他のデバイスを証明機関サービス102に提示することができる。スマートカードまたは他のデバイス内の長期デジタル証明書の解析に少なくともある程度基づいて、より短い期間有効であり得る短期デジタル証明書をカスタマに発行することができる。これによりカスタマは、リモート位置において自身の時間の間のみ有効であり得る、この新規に発行された短期デジタル証明書を利用してこのリモート位置においてアクセスすることができる。代替的な実施形態において、短期デジタル証明書は、さらに、長期デジタル証明書内に規定されたものとは異なるカスタマ暗号鍵を規定することができる。これによりカスタマは、長期デジタル証明書内の規定のカスタマ暗号鍵を公開することなく、信用できない場合に短期デジタル証明書を無効にすることができる。
【0015】
カスタマが一つ以上のカスタマサーバ104を通じて一つ以上の短期デジタル証明書を証明機関サービス102から受信すると、カスタマサーバ104は、ここで、受信した一つ以上の短期デジタル証明書とともにデータを一つ以上のユーザクライアント106に伝送することができる。ユーザクライアント106は、一つ以上の短期デジタル証明書内の規定の証明機関サービス102のデジタル署名を確認するのに使用できる暗号鍵ペアの公開暗号鍵を証明機関サービス102から取得することができる。証明機関サービス102のデジタル署名が本物であると確認された場合には、ユーザクライアント106は、一つ以上の短期デジタル証明書が有効であることを決定し、故に、これらを使用して一つ以上のカスタマサーバ104の身元を確認し、確認された場合に、短期デジタル証明書内の規定のカスタマの公開暗号鍵を利用することができる。例として、デジタル署名された(例えば、カスタマの秘密暗号鍵を利用した)データをユーザクライアント106に伝送するのにカスタマサーバ104が利用される場合には、ユーザクライアント106は、短期デジタル証明書内に規定されたものとしてカスタマの公開暗号鍵を利用して、カスタマのデジタル署名を確認して、伝送されたデータが有効であるか否かを決定することができる。故に、ユーザクライアント106は、カスタマサーバ104に安全に情報を伝送するのに利用できる。
【0016】
前述したように、カスタマは、証明機関サービスと通信して、短期デジタル証明書の取得において検証目的に利用できる長期デジタル証明書の発行をリクエストすることができる。さらに、カスタマは、一つ以上のカスタマサーバを通じて、証明機関サービスから、その後にユーザクライアントが一つ以上のカスタマサーバを認証するのに使用できるこれらの短期デジタル証明書をリクエストすることができる。これらの短期デジタル証明書についてのリクエストは、証明機関サービスがカスタマを認証するのに利用できる長期デジタル証明書を含むことができる。それに応じて、図2は、少なくとも一つの実施形態に従う、証明機関サービス202のさまざまな構成要素が集合的に長期デジタル証明書及び短期デジタル証明書をカスタマ212に発行するように構成された環境200の例証となる実施例を示す。
【0017】
証明機関サービス202は、カスタマ212が証明機関サービス202にアクセスできるインターフェース204をこれらのカスタマ212に提供することができる。カスタマ212は、インターネットなどの一つ以上の通信ネットワークを通じてインターフェース204を利用することができる。インターフェース204は、カスタマ212が証明機関サービス202にアクセスする権限を有することを保証する特定のセキュリティセーフガードを含むことができる。例として、証明機関サービス202にアクセスするために、カスタマは、インターフェース204を使用するときにユーザ名及び対応するパスワードまたはエンクリプションキーを提供する必要があり得る。加えて、インターフェース204に提示されたリクエスト(例えば、APIコール)は、権限付与システム(図示せず)などの証明機関サービス202によって電子署名を確認可能なように、暗号鍵を使用して生成された電子署名を要求する場合がある。
【0018】
インターフェース204を通じて、カスタマ212は、長期デジタル証明書を発行するためのリクエストを一つ以上のカスタマ212サーバに提示することができる。前述したように、後に、証明機関サービス202が、カスタマ212を認証し、短期デジタル証明書をカスタマ212サーバに発行できる長期デジタル証明書を利用することができる。長期デジタル証明書を発行するためのリクエストは、例えば、カスタマ212の名前、住所、収入情報などのカスタマ212に関する情報を含むことができる。さらに、インターフェース204を通じて、カスタマ212は、その後長期デジタル証明書内に規定され得る、長期デジタル証明書についての有効期間を規定することができる。
【0019】
長期デジタル証明書を発行するためのカスタマ212のリクエストを証明機関サービス202が受信すると、インターフェース204は、リクエストを処理し、カスタマ212に長期デジタル証明書が発行できるか否かを決定するように構成できる管理サブシステム206にリクエストを伝送することができる。例として、管理サブシステム206は、政府機関データベース及び他の第三者データベースにアクセスして、リクエストとともに提供されたカスタマ212情報に少なくともある程度基づいて、カスタマ212に長期デジタル証明書が発行できるか否かを決定するように構成できる。例えば、管理サブシステム206が第三者データベース内の規定の情報に少なくともある程度基づいてカスタマ212が信用できないことを決定した場合には、管理サブシステム206は、長期デジタル証明書についてのカスタマ212のリクエストを拒絶することができる。カスタマ212に長期デジタル証明書を発行できることを管理サブシステム206が決定した場合には、管理サブシステム206は、カスタマ212の情報をカスタマプロファイルリポジトリ210内に保存することができる。さらに、管理サブシステム206は、証明書データストア208にアクセスして、長期デジタル証明書を生成するのに利用できる証明書テンプレートを取得することができる。例として、管理サブシステム206は、証明書データストア208からX.509デジタル証明書テンプレートを取得し、このテンプレートを利用してカスタマ212についての長期X.509デジタル証明書を生成することができる。管理サブシステム206は、インターフェース204を通じて、新規に生成された長期デジタル証明書をカスタマ212に提供することができる。
【0020】
実施形態において、管理サブシステム206は、長期デジタル証明書内に、ユーザクライアントが認識できないまたはユーザクライアントによって拒否され得る重大な拡張子を規定する。例として、重大な拡張子は、カスタマ212を認証するためにデジタル証明書を利用できないことをユーザクライアントに信号で送ることができる「検証のみ」拡張子であっても良い。この重大な拡張子は、検証を実行した日付、カスタマ212検証に使用された基準もしくは要件、及び/または検証が実行された、証明機関サービス202のカスタマ212の識別子などのカスタマ212を認証するために実行された一つ以上の検証についての情報を含むことができる。
【0021】
後に、カスタマ212は、一つ以上のカスタマ212サーバを通じて、インターフェース204に再度アクセスし、ユーザクライアントとの安全な通信チャネルを確立し、かつユーザクライアントがカスタマ212を認証するのに使用できる一つ以上の短期デジタル証明書の作製をリクエストすることができる。リクエストは、カスタマ212に以前に発行された長期デジタル証明書を含むことができる。さらに、いくつかの実施形態では、リクエストは、最初の長期デジタル証明書内の規定の公開暗号鍵に対応し得る、カスタマ212の秘密暗号鍵を使用してカスタマ212によってデジタル署名することができる。リクエストの受信時に、管理サブシステム206は、長期デジタル証明書を評価して、長期デジタル証明書についての残存有効期間を決定することができる。例として、長期デジタル証明書は、長期デジタル証明書についての開始日及び満期日を規定する有効期間フィールドを含むことができる。指定の満期日に少なくともある程度基づいて、管理サブシステム206は、長期デジタル証明書についての残存有効期間を計算することができる。
【0022】
加えて、リクエストがカスタマ212によってデジタル署名されている場合には、管理サブシステム206は、カスタマプロファイルリポジトリ210にアクセスして、リクエストに含まれるデジタル署名を確認し、受信したリクエストが有効であることを保証するのに使用できる、この特定のカスタマ212に対応する暗号鍵を取得することができる。管理サブシステム206が長期デジタル証明書内の規定の情報に少なくともある程度基づいてカスタマ212がそう称する者であることを決定した場合には、管理サブシステム206は、証明書データストア208にアクセスして、リクエストされた一つ以上の短期デジタル証明書を生成するのに使用できるデジタル証明書テンプレートを取得することができる。一つ以上の短期デジタル証明書は、特定の規定の情報を除いて、長期デジタル証明書と同様のものであっても良い。例として、短期デジタル証明書は、長期デジタル証明書についての残存有効期間以下の有効期間を指定することができる。例として、長期デジタル証明書についての残存有効期間が3カ月である場合には、管理サブシステム206は、短期デジタル証明書内において、短期デジタル証明書についての有効期間を3カ月以下の任意の値に指定することができる。故に、短期デジタル証明書についての満期日は、長期デジタル証明書の満期日と一致しても良いし、長期デジタル証明書の満期日より早くても良い。
【0023】
さらに、短期デジタル証明書は、長期デジタル証明書内の規定の重大な拡張子を含まなくても良い。これによりユーザクライアントは、短期デジタル証明書を利用してカスタマ212を認証し、かつユーザクライアントは、カスタマ212と安全に通信することができる。いくつかの実施形態では、管理サブシステム206は、最初の、長期デジタル証明書内の規定の暗号鍵の代わりとなるカスタマ212暗号鍵を規定する短期デジタル証明書を生成することができる。これは、長期デジタル証明書、故に、最初のカスタマ212暗号鍵が、短期デジタル証明書の違反の結果として信用できなくなり得る可能性の減少を支援することができる。
【0024】
管理サブシステム206がカスタマ212リクエストに応答して一つ以上の短期デジタル証明書を生成すると、管理サブシステム206は、カスタマプロファイルリポジトリ210内のカスタマ212のプロファイルにアクセスして、発行された短期デジタル証明書の数、対応するカスタマ212暗号鍵、及び後にカスタマ212に代わってデジタル証明書を生成するのに有用となり得る任意の他の情報を特定することができる。管理サブシステム206は、インターフェース204を通じて、これらの短期デジタル証明書をユーザクライアントに提供できるカスタマ212にこれらの短期デジタル証明書を発行し、これによりこれらのユーザクライアントは、カスタマ212を認証し、安全な通信チャネルを通じてデータを安全にカスタマ212に伝送できる。さらに、これらの短期デジタル証明書によって、カスタマ212は、自身のデータをデジタル署名し、ユーザクライアントに伝送されるデータを暗号化することができる。
【0025】
前述したように、カスタマは、以前に発行された長期デジタル証明書を含むリクエストを証明機関サービスに伝送して、ユーザクライアントが短期デジタル証明書を利用してカスタマを認証できるような、これらのユーザクライアントに伝送できる一つ以上の短期デジタル証明書を取得することができる。それに応じて、図3は、少なくとも一つの実施形態に従う、証明機関サービス304が有効な長期デジタル証明書306の受信時に短期デジタル証明書308をカスタマ302に発行する環境300の例証となる実施例を示す。環境300において、カスタマ302は、一つ以上の短期デジタル証明書308を発行するための証明機関サービス304へのリクエストの一部として、証明機関サービス304によってカスタマ302に以前に発行された長期デジタル証明書306を提供することができる。前述したように、長期デジタル証明書306は、開始日(例えば、図3に例証するような「以後」フィールド)、及び満期日(例えば、図3に例証するような「以前」フィールド)を含むことができる有効期間を規定することができる。この有効期間は、長期デジタル証明書306が有効である継続期間を規定することができる。さらに、この有効期間によって、証明機関サービス304は、長期デジタル証明書306についての残存有効期間を決定できる。例として、証明機関サービス304は、満期日ならびに当日の日付及び時刻を利用して、長期デジタル証明書306についての残存有効期間を計算することができる。
【0026】
長期デジタル証明書306は、ユーザクライアントがカスタマ302を認証するために長期デジタル証明書306を使用することを阻止するために利用できる重大な拡張子も含むことができる。例として、図3に例証するように、長期デジタル証明書306は、識別子「検証のみ タイプ-1.01」をもつ拡張子を規定することができる。この特定の拡張子は、ユーザクライアントが、重大な拡張子を認識しない場合に、長期デジタル証明書306を拒否しなければならないことを意味する重大としてマークすることができる。さらに、ユーザクライアントがこの重大な拡張子を認識するように更新されるときには、ユーザクライアントは、この重大な拡張子を含む任意の長期デジタル証明書306を承認しないように構成できる。故に、カスタマ302は、その身元を、この長期デジタル証明書306を簡単に利用するユーザクライアントにアサートすることはできない。
【0027】
前述したように、一つ以上の短期デジタル証明書308を取得するためのリクエストをカスタマ302が証明機関サービス304に提示するときには、カスタマ302は、以前に発行された長期デジタル証明書306を証明機関サービス304に提供することができる。証明機関サービス304は、長期デジタル証明書306を評価して、長期デジタル証明書306が未だ有効であることを保証することができる。さらに、証明機関サービス304は、一つ以上のサブジェクトフィールド(図示せず)を評価して、カスタマ302がそう称する者であることを確認することができる。例として、一つ以上のサブジェクトフィールドは、カスタマ302の所与の名及び姓、カスタマ302の組織名及び/または部署、組織が位置し得る州、省及び国、カスタマ302についてのコモンネーム(例えば、URL)、または他のエンティティなどを規定することができる。実施形態において、カスタマ302は、短期デジタル証明書308が、長期デジタル証明書306を発行したのと同じカスタマ302に発行することを確実にするために、長期デジタル証明書306内に含まれる暗号鍵を利用して証明機関サービス304へのリクエストをデジタル署名する。
【0028】
証明機関サービス304が長期デジタル証明書306の使用を通じてカスタマ302を認証すると、証明機関サービス304は、一つ以上の短期デジタル証明書308を生成してカスタマ302に発行することができる。これらの一つ以上の短期デジタル証明書308は、少しの代わりのエントリを除いて、長期デジタル証明書306と同様のものであっても良い。例として、図3に例証するように、短期デジタル証明書308についての有効期間は、長期デジタル証明書306内の規定の有効期間よりも短い。例えば、証明機関サービス304は、短期デジタル証明書308が生成された日付と等しい開始日を規定することができる。あるいは、短期デジタル証明書308についての開始日は、カスタマ302への短期デジタル証明書308の発行の日付よりも遅く、かつ長期デジタル証明書306内の規定の満期日よりも前の日付として規定することができる。
【0029】
実施形態において、短期デジタル証明書308は、カスタマ302または長期デジタル証明書306の同じサブジェクトフィールド内の規定の他のエンティティに特有の少なくとも一つのサブジェクトフィールドを含むように生成される。例として、短期デジタル証明書308は、長期デジタル証明書306内の規定のものとして、同じ組織名、組織位置(例えば、州、省、国)、及びコモンネーム(例えば、URL)を規定することができる。いくつかの実施形態では、短期デジタル証明書308は、さらに、長期デジタル証明書306内に規定されていない追加のサブジェクトフィールドを含むことができる。例として、短期デジタル証明書308は、これらの追加のサブジェクトフィールドの一つ以上を通じて、短期デジタル証明書308が生成されたカスタマ302に関連付けられた委託されたエンティティの身元を特定することができる。加えて、短期デジタル証明書308内に含まれる一つ以上の追加のサブジェクトフィールドは、短期デジタル証明書308を利用できる第二の位置(例えば、州、省、国)を規定することができる。
【0030】
短期デジタル証明書308の満期日は、長期デジタル証明書306内の規定の満期日及び/またはカスタマ302リクエストに少なくともある程度基づいて、証明機関サービス304によって規定することができる。例として、図3に例証するように、短期デジタル証明書308内の規定の満期日は、長期デジタル証明書306内の規定の満期データよりも早い。短期デジタル証明書308についての有効期間は、短期デジタル証明書308についての有効期間が長期デジタル証明書306についての残存有効期間を超えない限り、証明機関サービス304またはリクエストを通じてカスタマ302によって規定することができる。
【0031】
短期デジタル証明書308は、ユーザクライアントによるデジタル証明書の使用を阻止する、長期デジタル証明書306内に含まれる重大な拡張子を含まなくても良い。例として、図3に例証するように、短期デジタル証明書308は、拡張子「検証のみ タイプ-1.01」を含まない。代わりに、短期デジタル証明書308内の規定の拡張子によって、ユーザクライアントは、カスタマ302を認証する及び他の目的(例えば、データ検証、データ復号など)のために、短期デジタル証明書308を利用することができる。短期デジタル証明書308が満期になるときに、カスタマ302は、長期デジタル証明書306とともにリクエストを証明機関サービス304に再度提示して、新規の短期デジタル証明書306を取得することができる。
【0032】
前述したように、証明機関サービスによってカスタマに発行された長期デジタル証明書は、自身の身元のカスタマのアサーションの信頼性の確認に利用することができない。例として、長期デジタル証明書は、一つ以上のユーザクライアントが認識できないまたはカスタマ認証のために長期デジタル証明書を承認できないことをこれらの一つ以上のユーザクライアントに指し示すことができる重大な拡張子を含むことができる。それに応じて、図4は、少なくとも一つの実施形態に従う、ユーザクライアント404がカスタマサーバ402から受信した長期デジタル証明書406を拒否する環境400の例証となる実施例を示す。
【0033】
長期デジタル証明書406は、正規のデジタル証明書に含まれるのと同様のフィールドの多くを含むことができる。例として、長期デジタル証明書406は、証明書についての有効期間、長期デジタル証明書406が発行されたカスタマ、カスタマ暗号鍵、及び長期デジタル証明書406が有効であることを確認するのに使用できる証明機関サービスデジタル署名を規定することができる。しかしながら、長期デジタル証明書406は、長期デジタル証明書406が検証のみのためであることを規定するのに利用できる一つ以上の重大な拡張子を含むことができる。例として、図4に例証するように、長期デジタル証明書406は、識別子「検証のみ タイプ-1.01」をもつ拡張子を規定することができる。この特定の拡張子は、ユーザクライアント404が、重大な拡張子を認識しない場合に、長期デジタル証明書406を拒否しなければならないことを意味する重大としてマークすることができる。さらに、ユーザクライアント404がこの重大な拡張子を認識するように更新されるときには、ユーザクライアント404は、この重大な拡張子を含む任意の長期デジタル証明書406を承認しないように構成できる。
【0034】
ユーザクライアント404がカスタマサーバ402からこの長期デジタル証明書406を受信する場合には、ユーザクライアント404は、カスタマサーバ402から受信したデータを破棄し、カスタマサーバ402との通信チャネルを終了させることができる。故に、カスタマは、証明機関サービスと連動して、検証目的のみのために長期デジタル証明書406を利用することが可能になる。さらに、これは、長期デジタル証明書406の広範な聴衆への公開を限定することによって、長期デジタル証明書406、それ故に、カスタマの公開暗号鍵が信用できないことがあるという潜在的なリスクを減少することができる。
【0035】
前述したように、カスタマは、一つ以上のカスタマサーバを通じて、証明機関サービスから一つ以上の短期デジタル証明書をリクエストすることができる。リクエストは、証明機関サービスが、カスタマを認証し、かつ長期デジタル証明書内の規定の情報を利用して、カスタマに発行される一つ以上の短期デジタル証明書についての有効期間を規定することができる長期デジタル証明書を含むことができる。これらの一つ以上の短期デジタル証明書は、自身の身元をユーザクライアントにアサートし、ユーザクライアントがカスタマを認証できるようにカスタマによって利用することができる。それに応じて、図5は、少なくとも一つの実施形態に従う、ユーザクライアント504がカスタマサーバ502から受信した短期デジタル証明書506を利用してカスタマサーバ502を認証できる環境500の例証となる実施例を示す。ユーザクライアント504及びカスタマサーバ502は、図4に例証したユーザクライアント及びカスタマサーバと同様のものであっても良い。
【0036】
環境500において、カスタマサーバ502は、データ及び短期デジタル証明書506をユーザクライアント504に伝送することができる。ユーザクライアント504は、ユーザが相互作用してカスタマサーバ502にアクセスできるブラウザアプリケーションであっても良い。ユーザクライアント504がカスタマサーバ502との通信を開始したときに、カスタマサーバ502は、特定のデータ及び短期デジタル証明書506をユーザクライアント504に提供することによって応答することができる。短期デジタル証明書506は、カスタマの身元、短期デジタル証明書506についての有効期間、カスタマ公開暗号鍵、及びカスタマサーバ502に短期デジタル証明書を発行した証明機関サービスデジタル署名を規定することができる。この情報に加えて、短期デジタル証明書506は、短期デジタル証明書506が特定の目的のために利用され得ることを規定するのに使用できる一つ以上の拡張子を規定することができる。例として、図5に例証するように、短期デジタル証明書506は、証明書チェーンについての経路長を制限するのに使用できる「基本制約」拡張子を含むことができる。「基本制約」拡張子が例証目的のために本開示の全体を通じて広く使用されるが、追加の及び/または代替的な拡張子を短期デジタル証明書506内に規定することができる。
【0037】
しかしながら、図4に例証した長期デジタル証明書とは対照的に、短期デジタル証明書506は、図4に例証した長期デジタル証明書内の規定の「検証のみ タイプ-1.01」拡張子などの重大な「検証のみ」拡張子を規定しなくても良い。故に、短期デジタル証明書506は、ユーザクライアント504によって認識でき、ユーザクライアント504は、短期デジタル証明書506を利用してカスタマサーバ502を認証し、証明機関サービスの公開暗号鍵の使用を通じて、短期デジタル証明書506内の規定の証明機関サービスデジタル署名を検証することができる。故に、ユーザクライアント504が、カスタマサーバ502を認証し、短期デジタル証明書506が有効であることを確認できる場合には、ユーザクライアント504は、安全な通信チャネルを通じたカスタマサーバ502とのさらなる通信に携わることができる。
【0038】
前述したように、カスタマは、カスタマと証明機関サービスとの間の検証目的のみのために利用できる長期デジタル証明書の発行をリクエストするためのリクエストを証明機関サービスに提示することができる。さらに、長期デジタル証明書がカスタマに発行されると、カスタマは、カスタマを認証してカスタマとこれらのユーザクライアントとの間の安全な通信を可能にするためにユーザクライアントによって使用できる一つ以上の短期デジタル証明書を発行するための新規のリクエストを証明機関サービスに提示することができる。一つ以上の短期デジタル証明書を発行するための新規のリクエストは、前述の証明機関サービスが、カスタマを認証し、かつ短期デジタル証明書のパラメータを規定するのに必須の情報を取得するのに利用できる長期デジタル証明書を含むことができる。それに応じて、図6は、少なくとも一つの実施形態に従う、長期デジタル証明書及び短期デジタル証明書を証明機関サービスから受信するためのプロセス600の例証となる実施例を示す。プロセス600は、カスタマと証明機関サービスとの間の通信を可能にするように構成できる一つ以上のカスタマサーバを通じて、カスタマによって実行することができる。
【0039】
長期デジタル証明書をカスタマが取得するために、カスタマは、証明機関サービスが、それを利用して、長期デジタル証明書を委託できる信用できるエンティティとしてカスタマを適切に吟味できる特定の情報を証明機関サービスに提供する必要があり得る。例として、証明機関サービスは、政府機関、信用がある第三者データベース及び他の信用がある情報リポジトリによって維持される一つ以上のデータベースにアクセスし、カスタマが信用できるか否かを決定することができる。故に、カスタマは、長期証明書を取得するために、一つ以上の証明機関サービス検証要件を満たす必要があり得る(602)。
【0040】
カスタマが証明機関サービス検証要件を満たすことができる場合には、証明機関サービスは、長期デジタル証明書を生成することができる。この長期デジタル証明書は、長い有効期間(例えば、1年以上)及び長期デジタル証明書が証明機関サービスによって検証目的のみに使用できることを規定できる特定の重大な拡張子を規定することができる。故に、長期デジタル証明書は、この特定の重大な拡張子を認識するように構成されたユーザクライアントによって承認することはできない。あるいは、ユーザクライアントに長期デジタル証明書を拒否させることができる重大な拡張子は、ユーザクライアントによって認識できない。長期デジタル証明書の有効期間は、証明機関サービスまたはサービスへの自身のリクエストを通じてカスタマによって規定することができる。長期デジタル証明書が生成されると、証明機関サービスは、長期デジタル証明書をカスタマに使用のために発行することができる。故に、カスタマは、証明機関サービスから長期デジタル証明書を受信することができる(604)。
【0041】
証明機関サービスから長期デジタル証明書を受信した後のいつでも、カスタマは、一つ以上のユーザクライアントと通信するときに認証目的のために利用できる一つ以上の短期デジタル証明書を発行するためのリクエストを証明機関サービスに提示することができる(606)。リクエストは、証明機関サービスが、カスタマの身元を確認しかつリクエストされた一つ以上の短期デジタル証明書を取得するための権限をカスタマに与えることを保証するために利用できる前述の長期デジタル証明書を含むことができる。実施形態において、証明機関サービスに提示されたリクエストは、長期デジタル証明書内に規定された公開暗号鍵に対応するカスタマの秘密暗号鍵を利用することによって、カスタマによってデジタル署名される。証明機関サービスは、長期証明書の公開鍵を使用してデジタル署名を確認することができる。これにより証明機関サービスは、短期デジタル証明書が、長期デジタル証明書が以前に発行されたのと同じエンティティに発行されることを保証することができる。
【0042】
証明機関サービスが長期デジタル証明書の使用を通じてカスタマを検証すると、証明機関サービスは、カスタマに発行できる一つ以上の短期デジタル証明書を生成することができる。これらの短期デジタル証明書は、長期デジタル証明書よりも短い継続期間または有効期間を有することができる。例として、証明機関サービスは、長期デジタル証明書についての残存有効期間に少なくともある程度基づいて、短期デジタル証明書についての有効期間を規定することができる。あるいは、カスタマは、有効期間が長期デジタル証明書についての残存有効期間以下である限り、これらの短期デジタル証明書についての特定の有効期間をリクエストすることができる。これにより、証明機関サービスが、長期デジタル証明書の満期日よりも遅い満期日を有する短期デジタル証明書を発行することを阻止できる。短期デジタル証明書は、長期デジタル証明書内の規定の重大な拡張子を除外することもできる。これによりこれらの短期デジタル証明書が、カスタマを認証するためにユーザクライアントによって利用されることが可能になる。短期デジタル証明書が生成されると、カスタマは、これらの短期デジタル証明書を証明機関サービスから受信することができる(608)。
【0043】
カスタマが証明機関サービスから一つ以上の短期デジタル証明書を受信すると、カスタマは、認証目的のためにこれらの一つ以上の短期デジタル証明書を利用することができる(610)。例として、カスタマのカスタマサーバは、例として、権限を与えられたサーバと通信して短期デジタル証明書の規定のドメイン名に代わって動作していることをユーザクライアントが決定できる短期デジタル証明書のコピーをユーザクライアントに提供できる。短期デジタル証明書は、証明機関サービスから取得し、例えば、信用がある証明書のためのデータ保存位置においてユーザクライアントによって維持された公開暗号鍵の使用を通じてユーザクライアントによって検証できる証明機関サービスデジタル署名を含むことができる。デジタル署名が検証された場合には、ユーザクライアントは、短期デジタル証明書が本物であり、それを使用してカスタマがそう称する者であることを保証することを決定できる。
【0044】
前述したように、証明機関サービスは、長期デジタル証明書を発行するためのリクエストをカスタマから受信することができる。この長期デジタル証明書は、カスタマと証明機関サービスとの間の検証目的のために利用することができる。例として、長期デジタル証明書は、カスタマまたは任意の他のエンティティによってユーザクライアントに提供された場合にユーザクライアントにデジタル証明書を拒否させることができる重大な拡張子を規定することができる。しかしながら、証明機関サービスは、この長期デジタル証明書を利用して、カスタマを検証し、リクエスト時に認証のために使用できる短期デジタル証明書を発行することができる。それに応じて、図7は、少なくとも一つの実施形態に従う、長期デジタル証明書を発行するためのカスタマリクエストに応答して、長期デジタル証明書を生成して発行するプロセス700の例証となる実施例を示す。プロセス700は、カスタマに長期デジタル証明書を委託できるか否かを決定するために、カスタマからのリクエストを受信し、他のエンティティと通信するように構成できる前述の証明機関サービスによって実行することができる。さらに、証明機関サービスは、カスタマのリクエストならびに既知のデジタル証明書フォーマット及び基準に少なくともある程度基づいて、これらの長期デジタル証明書を生成するように構成できる。
【0045】
カスタマは、証明機関サービスと通信して、カスタマと証明機関サービスとの間の検証目的のために利用することができる長期デジタル証明書の発行をリクエストすることができる。カスタマは、ビジネス中にさまざまなユーザクライアントと通信するのに利用できる一つ以上のサーバを動作させることができる。これらの一つ以上のサーバがこれらのユーザクライアントによって認証され、これらの一つ以上のサーバとユーザクライアントとの間の安全な通信を可能にするために、カスタマは、カスタマがそう称する者であることをこれらのユーザクライアントに確信させるために、一つ以上のデジタル証明書を獲得する必要があり得る。前述したように、長期デジタル証明書は、検証目的のために利用される。加えて、この長期デジタル証明書は、ユーザクライアントによってサーバ認証のために利用できる短期デジタル証明書を取得するために必要となり得る。故に、証明機関サービスは、長期デジタル証明書を発行するためのリクエストをカスタマから受信することができる702。
【0046】
カスタマからのリクエストは、カスタマのビジネスオペレーションに関する情報を含むことができる。例として、カスタマは、名前、住所、Eメールアドレス、ユニフォームリソースロケータ(URL)、財務記録などをレビューのために証明機関サービスに提供することができる。この情報は、カスタマに一つ以上の長期デジタル証明書を委託できるか否かを決定するのに必須であり得る。故に、証明機関サービスは、カスタマを吟味するための徹底的な検証プロセスを実行するための、カスタマから必須の情報を受信したか否かを決定することができる704。証明機関サービスによって要求されるようなこの必須の情報をカスタマが供給しなかった場合には、証明機関サービスは、長期デジタル証明書を発行するためのカスタマのリクエストを拒絶することができる706。
【0047】
カスタマを検証するのに必要な必須の情報をカスタマが証明機関サービスに供給した場合には、証明機関サービスは、リクエスタ(例えば、カスタマ)を確認及び検証するための一つ以上のエンティティ及びドメイン検証プロセスを実行することができる708。例として、いくつかの実施形態では、証明機関サービスは、カスタマのドメインに管理的に関与するものとして既知のアドレスに一つ以上の電子メール(Eメール)メッセージを送信することができる。証明機関サービスは、例えば、カスタマドメインを識別するための「WHOIS」クエリを使用して、カスタマの「WHOIS」エントリに含まれる規定の連絡アドレスに認証リンクを伝送することができる。追加的にまたは代替的に、証明機関サービスは、さまざまな政府機関データベース及び他の第三者データベースにアクセスし、提供された情報に少なくともある程度基づいて、カスタマに長期デジタル証明書を委託できるか否かを決定することができる。
【0048】
証明機関サービスがエンティティ及びドメイン検証プロセスを実行すると、証明機関サービスは、これらのプロセスが満たされたか否かを決定することができる(710)。例として、証明機関サービスが、政府機関データベース及び他の第三者データベース内の規定のカスタマ情報の解析に基づいて、カスタマに長期デジタル証明書を委託できないことを決定した場合には、証明機関サービスは、カスタマのリクエストを拒絶することができる(706)。しかしながら、検証プロセスが満たされた場合には、証明機関サービスは、証明機関サービスとカスタマとの間の検証目的に利用できる長期デジタル証明書を生成することができる(712)。
【0049】
長期デジタル証明書は、デジタル証明書の発行者、証明書についての有効期間、サブジェクト(例えば、カスタマ)、サブジェクトの公開暗号鍵、及び証明機関サービスデジタル署名を規定することができる。長期デジタル証明書は、さらに、長期デジタル証明書が検証目的のみのために利用されることを表すことができる重大な拡張子を規定することができる。この重大な拡張子は、いくつかのユーザクライアントには認識されず、結果として、これらのユーザクライアントによって自動的に拒否され得る。あるいは、ユーザクライアントは、この重大な拡張子を含むあらゆるデジタル証明書を拒否するように構成できる。証明機関サービスがこの長期デジタル証明書を生成すると、証明機関サービスは、この証明書をカスタマに発行することができる(714)。故に、カスタマは、ここで、検証目的のために及びリクエストの一部としてこの長期デジタル証明書を利用して、一つ以上のユーザクライアントと通信するための短期デジタル証明書を取得することができる。
【0050】
前述したように、証明機関サービスは、一つ以上の短期デジタル証明書を発行するためのカスタマからのリクエストを受信することができる。これらの一つ以上の短期デジタル証明書は、以前に発行された長期デジタル証明書とは対照的に、カスタマを認証してカスタマとこれらのユーザクライアントとの間の安全な通信を可能にするために、ユーザクライアントによって利用することができる。カスタマからのリクエストは、カスタマを検証し、リクエストされた短期デジタル証明書を生成するのに必須の情報を取得するために証明機関サービスによって利用できる以前に発行された長期デジタル証明書を含むことができる。それに応じて、図8は、少なくとも一つの実施形態に従う、カスタマリクエストに応答して、長期デジタル証明書を利用してカスタマを認証して一つ以上の短期デジタル証明書を発行するためのプロセス800の例証となる実施例を示す。
【0051】
前述のプロセス700と同様に、カスタマは、証明機関サービスと通信して、カスタマによってユーザクライアントに提供され、これらのユーザクライアントがカスタマを認証して安全な通信をカスタマに伝送できる短期デジタル証明書の発行をリクエストすることができる。リクエストは、証明機関サービスによってカスタマに以前に発行され、カスタマと証明機関サービスとの間の検証目的のみに使用可能な長期デジタル証明書を含むことができる。いくつかの実施形態では、短期デジタル証明書を発行するためのリクエストは、短期デジタル証明書がカスタマに発行されることを証明機関サービスに確信させるために、長期デジタル証明書内に含まれるカスタマの秘密暗号鍵を使用してデジタル署名することができる。証明機関サービスは、長期デジタル証明書の公開暗号鍵を使用してデジタル署名を確認することができる。故に、証明機関サービスは、一つ以上の短期デジタル証明書を発行するためのリクエストを受信することができる(802)。
【0052】
一つ以上の短期デジタル証明書を発行するためのリクエストを証明機関サービスがカスタマから受信すると、証明機関サービスは、長期デジタル証明書内に含まれる情報を調査して(804)、証明書が有効であるか否かを決定することができる(806)。例として、証明機関サービスは、長期デジタル証明書内のサブジェクトフィールドを評価して、リクエストを提示したエンティティが長期デジタル証明書内の規定のサブジェクトとマッチするか否かを決定することができる。さらに、証明機関サービスは、含まれている証明機関サービスデジタル署名を利用することによって長期デジタル証明書が改ざんされたか否かを決定し、証明書の有効性を決定することができる。長期デジタル証明書が有効でないことを証明機関サービスが決定した場合には、証明機関サービスは、短期デジタル証明書を発行するためのカスタマのリクエストを拒絶することができる(808)。
【0053】
実施形態において、長期デジタル証明書は、短期デジタル証明書をカスタマに発行するように構成された証明機関サービスとは異なる証明機関サービスによって発行することができる。長期デジタル証明書は、この異なる証明機関サービスに対応する証明機関サービスデジタル署名を含むことができる。それに応じて、証明機関サービスは、最初にこの異なる証明機関サービスからの公開暗号鍵を有するか否かを決定し、有する場合には、この公開暗号鍵を利用して、長期デジタル証明書内の規定のデジタル署名を確認し、長期デジタル証明書を検証することができる。長期デジタル証明書が有効である場合には、証明機関サービスは、長期デジタル証明書の調査を継続し、リクエストされた短期デジタル証明書をカスタマに発行できるか否かを決定することができる。
【0054】
長期デジタル証明書が確かに有効であることを証明機関サービスが決定した場合には、証明機関サービスは、長期デジタル証明書が、短期デジタル証明書を発行するための十分な残存有効期間を未だ有するか否かを決定することができる(810)。例として、証明機関サービスは、証明機関サービスが長期デジタル証明書に基づいて任意の短期デジタル証明書を発行するために、3カ月超の残存有効期間を長期デジタル証明書が有することを要求する場合がある。同様に、証明機関サービスは、特定の有効期間をもつ短期デジタル証明書のみを発行するように構成できる。この特定の有効期間が長期デジタル証明書の残存有効期間を超える場合には、証明機関サービスは、リクエストされた一つ以上の短期デジタル証明書を生成することができない。故に、長期デジタル証明書が十分な残存有効期間を有さないことを証明機関サービスが決定した場合には、証明機関サービスは、カスタマのリクエストを拒絶することができる(808)。
【0055】
リクエストされた一つ以上の短期デジタル証明書を発行するための十分な残存有効期間を長期デジタル証明書が有することを証明機関サービスが決定すると、証明機関サービスは、発行される短期デジタル証明書の有効期間を決定することができる812。前述したように、証明機関サービスは、設定された有効期間をもつ短期デジタル証明書を生成するように構成できる。故に、これらの短期デジタル証明書は、この特定の有効期間を規定することができる。他の実施形態では、カスタマは、リクエストを通じて、短期デジタル証明書についての所望の有効期間を規定することができる。所望の有効期間が長期デジタル証明書についての残存有効期間を超えない場合には、証明機関サービスは、この所望の有効期間を利用して、リクエストされた一つ以上の短期デジタル証明書の開始日及び満期日を計算することができる。
【0056】
証明機関サービスは、短期デジタル証明書の決定された有効期間及び長期デジタル証明書から集めた情報を利用して、一つ以上の短期デジタル証明書を生成することができる。その後、証明機関サービスは、カスタマ自身のリクエストに応答してカスタマに一つ以上の短期デジタル証明書を発行することができる(814)。これによりカスタマは、これらの一つ以上の短期デジタル証明書をさまざまなユーザクライアントに提供でき、そしてこれらのユーザクライアントは、カスタマを認証してカスタマと安全に通信することができる。
【0057】
前述したように、長期デジタル証明書は、ユーザクライアントによって認識できない、またはユーザクライアントに、この拡張子の検出及び認識時に長期デジタル証明書を承認させない重大な拡張子を含むことができる。故に、カスタマが長期デジタル証明書をユーザクライアントに提供した場合には、ユーザクライアントは、カスタマを認証することができず、故に、さらに、カスタマと通信することができない。それに応じて、図9は、少なくとも一つの実施形態に従う、デジタル証明書を利用してカスタマサーバを認証するためのプロセス900の例証となる実施例を示す。プロセス900は、ユーザのコンピューティングデバイスにインストールされたブラウザアプリケーションなどの任意のユーザクライアントによって実行することができる。
【0058】
ユーザクライアントがカスタマサーバとの通信チャネルを確立するときに、カスタマサーバは、カスタマサーバの身元を確立するために、一つ以上のデジタル証明書をユーザクライアントに伝送することができる。これらのデジタル証明書は、カスタマサーバがそう称する者であるか否かを決定するのに使用できるさまざまなフィールドを含むことができる。例として、デジタル証明書は、カスタマ及び関連付けられたカスタマサーバの名前、アドレス及びドメインを規定できるサブジェクトフィールドを含むことができる。さらに、デジタル証明書は、信用がある証明機関サービスによってデジタル証明書が発行され、デジタル証明書が有効であることをユーザクライアントが確認するのに利用できる証明機関サービスデジタル署名を含むことができる。さらに、デジタル証明書は、ユーザクライアントによってデジタル証明書をどのように処理すべきかを規定できるさまざまな拡張子を含むことができる。故に、カスタマサーバとの通信の確立時に、ユーザクライアントは、このカスタマサーバからデジタル証明書を受信し(902)、さらに、デジタル証明書内の規定の任意の拡張子を識別することができる(904)。
【0059】
前述したように、長期デジタル証明書は、カスタマサーバと発行している証明機関サービスとの間の検証目的のみに長期デジタル証明書を利用できることを規定できる重大な拡張子を含むことができる。この重大な拡張子は、特定のユーザクライアントには認識されず、結果として、これらのユーザクライアントに長期デジタル証明書を拒否させることができる。あるいは、いくつかの実施形態では、ユーザクライアントは、この重大な拡張子を認識し、結果として、カスタマサーバからの長期デジタル証明書を承認させないように構成できる。故に、ユーザクライアントは、受信したデジタル証明書がこの「検証のみ」の重大な拡張子を含むか否かを決定することができる(906)。デジタル証明書がこの重大な拡張子を含む場合には、ユーザクライアントは、ユーザクライアントがカスタマを認証できないように、ユーザクライアントとカスタマとの間の通信チャネルを終了することができる(908)。しかしながら、重大な拡張子が存在しない場合には、ユーザクライアントは、カスタマサーバを認証するためのデジタル証明書の処理を継続することができる(910)。
【0060】
図10は、さまざまな実施形態に従う、態様を実施するための例示的な環境1000の態様を例証する。認識されるように、説明を目的としてウェブベースの環境を使用したが、必要に応じて、さまざまな実施形態を実施するための種々の環境を使用することができる。環境は、適切なネットワーク1004を通じてリクエスト、メッセージまたは情報を送信及び/または受信する、そしていくつかの実施形態ではデバイスのユーザに情報を戻すように伝達するように動作可能な任意の適切なデバイスを含むことができる電子クライアントデバイス1002を含む。そのようなクライアントデバイスの実施例は、パーソナルコンピュータ、携帯電話、ハンドヘルドメッセージングデバイス、ラップトップコンピュータ、タブレットコンピュータ、セットトップボックス、パーソナルデータアシスタント、組み込み型コンピュータシステム、電子ブックリーダなどを含む。ネットワークは、イントラネット、インターネット、セルラーネットワーク、ローカルエリアネットワーク、衛星ネットワークもしくは任意の他のそのようなネットワーク、及び/またはそれらの組み合わせを含む任意の適切なネットワークを含むことができる。そのようなシステムに使用される構成要素は、選択されたネットワーク及び/または環境のタイプに少なくともある程度応じて決めることができる。そのようなネットワークを通じて通信するためのプロトコル及び構成要素は、公知であり、本明細書に詳細には論じない。ネットワークを通じた通信は、有線または無線接続及びそれらの組み合わせによって可能になる。他のネットワークでは、当業者に明らかであろうような、同様の目的を果たす代替的なデバイスであるが、この実施例では、リクエストを受信し、それに応答してコンテンツをサーブするためのウェブサーバ1006を環境が含むので、ネットワークは、インターネットを含む。
【0061】
例証となる環境は、少なくとも一つのアプリケーションサーバ1008及びデータストア1010を含む。相互作用して適切なデータストアからデータを取得するなどのタスクを実行できる鎖状または別な様に構成できるいくつかのアプリケーションサーバ、層もしくは他の要素、プロセスまたは構成要素が存在し得ることを理解すべきである。本明細書に使用されるようなサーバは、ハードウェアデバイスまたは仮想コンピュータシステムなどのさまざまな様式において実装することができる。いくつかの文脈において、サーバは、コンピュータシステムにおいて実行されるプログラミングモジュールを指しても良い。文脈から別な様に明記しないまたは明確にしない限り、本明細書に使用されるような「データストア」という用語は、データを保存、それにアクセス及びそれを検索できる任意のデバイスまたはデバイスの組み合わせを指し、任意の標準、分散、仮想またはクラスタ化環境における、データサーバ、データベース、データ記憶デバイス及びデータ記憶媒体の任意の組み合わせ及び数を含むことができる。アプリケーションサーバは、アプリケーションのためのデータアクセス及びビジネスロジックのいくつかまたはすべてを処理する、クライアントデバイスのための一つ以上のアプリケーションの態様を実行するのに必要なような、データストアと統合するための任意の適切なハードウェア、ソフトウェア及びファームウェアを含むことができる。アプリケーションサーバは、データストアと協働してアクセス制御サービスを提供し、これらに限定されないが、テキスト、グラフィックス、音声、映像及び/またはハイパーテキストマークアップ言語(「HTML」)、拡張マークアップ言語(「XML」)、ジャバスクリプト、カスケーディングスタイルシート(「CSS」)、もしくは他の適切なクライアント側構造化言語の形態において、ウェブサーバによってユーザにサーブすることができる、ユーザに提供されて使用可能な他のコンテンツを含むコンテンツを生成できる。クライアントデバイスに転送されるコンテンツは、これらに限定されないが、ユーザが、音声的に、視覚的にならびに/または触覚、味覚及び/もしくは嗅覚を含む他の感覚を通じて知覚可能な形態を含む一つ以上の形態においてコンテンツを提供するようにクライアントデバイスによって処理することができる。すべてのリクエスト及び応答の処理、ならびにクライアントデバイス1002とアプリケーションサーバ1008との間のコンテンツの送達は、この実施例では、PHP、ハイパーテキストプリプロセッサ(「PHP」)、Python、Ruby、Perl、Java、HTML、XMLまたは別の適切なサーバ側構造化言語を使用してウェブサーバによって処理することができる。本明細書に論じる構造的コードを本明細書の他の箇所に論じるような任意の適切なデバイスまたはホストマシンにおいて実行できるので、ウェブ及びアプリケーションサーバが必須ではなく、単なる例示的な構成要素であることを理解すべきである。さらに、単一デバイスによって実行するように本明細書に記載する動作は、文脈から別な様に明確でない限り、分散及び/または仮想システムを形成できる複数のデバイスによって集合的に実行できる。
【0062】
データストア1010は、本開示の特定の態様に関するデータを保存するためのいくつかの別個のデータ表、データベース、データドキュメント、動的データストレージスキームならびに/または他のデータストレージ機構及び媒体を含むことができる。例えば、例証したデータストアは、生産側にコンテンツをサーブするのに使用できるプロダクションデータ1012及びユーザ情報1016を保存するための機構を含むことができる。データストアは、報告、解析または他のそのような目的のために使用できるログデータ1014を保存するための機構を含むようにも示される。必要に応じて前にリストした機構またはデータストア1010における追加の機構のいずれかに保存できる、ページイメージ情報及びアクセス権情報などのデータストアに保存する必要があり得る多くの他の態様が存在し得ることを理解すべきである。データストア1010は、それに関連付けられたロジックを通じて、アプリケーションサーバ1008からの命令を受信し、それに応答してデータを取得、更新または別な様に処理するように動作可能である。アプリケーションサーバ1008は、受信した命令に応答して、静的データ、動的データまたは静的データと動的データとの組み合わせを提供することができる。ウェブログ(ブログ)、ショッピングアプリケーション、ニュースサービス及び他のそのようなアプリケーションに使用されるデータなどの動的データは、本明細書に記載するようなサーバ側構造化言語によって生成できる、またはアプリケーションサーバにおいてもしくはその制御下で動作するコンテンツ管理システム(「CMS」)によって提供することができる。一実施例において、ユーザは、ユーザによって操作されるデバイスを通じて、特定のタイプのアイテムについての検索リクエストを提示することができる。この場合では、データストアは、ユーザ情報にアクセスしてユーザの身元を確認し、そしてカタログ詳細情報にアクセスしてそのタイプのアイテムについての情報を取得することができる。その後、ユーザがユーザデバイス1002におけるブラウザを通じて見ることができるウェブページにリストされている結果などの情報をユーザに戻すことができる。関心のある特定のアイテムについての情報は、ブラウザの専用ページまたはウィンドウにおいて見ることができる。しかしながら、本開示のその実施形態が、必ずしもウェブページの文脈に限定されず、リクエストが必ずしもコンテンツについてのリクエストではない場合に、通例、リクエストの処理により広く適用可能であり得ることに留意すべきである。
【0063】
各サーバは、通常、そのサーバの全般的な管理及び動作のための実行可能プログラム命令を提供するオペレーティングシステム、及び通常、サーバのプロセッサによって実行されたときに、サーバにその意図する機能を実行させる命令を保存するコンピュータ可読記憶媒体(例えば、ハードディスク、ランダムアクセスメモリ、リードオンリーメモリなど)を含む。サーバのオペレーティングシステム及び全般的な機能性の適切な実施態様は、既知または市販されており、特に、本明細書の開示に照らした当業者によって容易に実施される。
【0064】
一実施形態において、環境は、一つ以上のコンピュータネットワークまたは直接接続を使用して、通信リンクを通じて相互接続されたいくつかのコンピュータシステム及び構成要素を利用する分散及び/または仮想コンピューティング環境である。しかしながら、そのようなシステムが、図10に例証するよりも少ないまたは多い数の構成要素を有するシステムにおいて等しく良好に動作できることが当業者によって認識される。故に、図10のシステム1000の描写は、事実上例証として解釈され、本開示の範囲を限定しないはずである。
【0065】
さまざまな実施形態は、さらに、場合によっては多数のアプリケーションのいずれかを動作させるのに使用できる、一つ以上のユーザコンピュータ、コンピューティングデバイスまたはプロセッシングデバイスを含むことができる広範な様々な動作環境において実施することができる。ユーザまたはクライアントデバイスは、標準オペレーティングシステムを実行するデスクトップ、ラップトップまたはタブレットコンピュータ、ならびにモバイルソフトウェアを実行し、多数のネットワーキング及びメッセージングプロトコルをサポートできるセルラー、無線及びハンドヘルドデバイスなどの多数の汎用パーソナルコンピュータのいずれかを含むことができる。そのようなシステムは、開発及びデータベース管理などの目的のための様々な市販のオペレーティングシステム及び他の既知のアプリケーションのいずれかを実行する多数のワークステーションも含むことができる。これらのデバイスは、ダミーターミナル、シンクライアント、ゲーミングシステム、及びネットワークを通じて通信できる他のデバイスなどの他の電子デバイスも含むことができる。これらのデバイスは、ネットワークを通じて通信できる仮想マシン、ハイパーバイザ及び他の仮想デバイスなどの仮想デバイスも含むことができる。
【0066】
本開示のさまざまな実施形態は、伝送制御プロトコル/インターネットプロトコル(「TCP/IP」)、ユーザデータグラムプロトコル(「UDP」)、オープンシステムインターコネクション(「OSI」)モデルのさまざまな層において動作するプロトコル、ファイル転送プロトコル(「FTP」)、ユニバーサルプラグアンドプレイ(「UpnP」)、ネットワークファイルシステム(「NFS」)、共通インターネットファイルシステム(「CIFS」)、及びアップルトークなどの様々な市販のプロトコルのいずれかを使用して通信をサポートするための、当業者によく知られている少なくとも一つのネットワークを利用する。ネットワークは、例えば、ローカルエリアネットワーク、広域ネットワーク、仮想プライベートネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話網、赤外線ネットワーク、無線ネットワーク、衛星ネットワーク、及びそれらの任意の組み合わせであっても良い。
【0067】
ウェブサーバを利用する実施形態では、ウェブサーバは、ハイパーテキスト転送プロトコル(「HTTP」)サーバ、FTPサーバ、共通ゲートウェイインターフェース(「CGI」)サーバ、データサーバ、Javaサーバ、アパッチサーバ、及びビジネスアプリケーションサーバを含む様々なサーバまたは中間層アプリケーションのいずれかを実行することができる。サーバ(複数可)は、Java(登録商標)、C、C#もしくはC++などの任意のプログラミング言語、またはRuby、PHP、Perl、PythonもしくはTCLなどの任意のスクリプト言語、及びそれらの組み合わせにおいて書き込まれた一つ以上のスクリプトまたはプログラムとして実施できる一つ以上のウェブアプリケーションを実行することなどによって、ユーザデバイスからのリクエストに応答してプログラムまたはスクリプトも実行することができる。サーバ(複数可)は、制限なく、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)及びIBM(登録商標)から市販されているもの、ならびにMySQL、Postgres、SQLite、MongoDBなどのオープンソースサーバ、及び構造化または非構造化データに保存、それを検索及びそれにアクセスできる任意の他のサーバを含むデータベースサーバも含むことができる。データベースサーバは、タブレットベースのサーバ、ドキュメントベースのサーバ、非構造化サーバ、リレーショナルサーバ、非リレーショナルサーバもしくはこれらの組み合わせ、及び/または他のデータベースサーバを含むことができる。
【0068】
環境は、前述のような様々なデータストア、ならびに他のメモリ及び記憶媒体を含むことができる。これらは、コンピュータの一つ以上にローカル(かつ/またはそこに存在する)、またはネットワークにわたるコンピュータのいずれかまたはすべてからリモートの記憶媒体などの様々な位置に存在することができる。特定の一連の実施形態では、情報は、当業者によく知られているストレージエリアネットワーク(「SAN」)に存在することができる。同様に、コンピュータ、サーバまたは他のネットワークデバイスに属する機能を実行するための任意の必須のファイルを、必要に応じて、ローカルに及び/またはリモートに保存することができる。コンピュータ化されたデバイスをシステムが含む場合には、各々のそのようなデバイスは、バスを通じて電気的に連結できるハードウェア要素を含むことができる。この要素は、例えば、少なくとも一つの中央処理装置(「CPU」または「プロセッサ」)、少なくとも一つの入力デバイス(例えば、マウス、キーボード、コントローラ、タッチスクリーンまたはキーパッド)、及び少なくとも一つの出力デバイス(例えば、表示デバイス、プリンタまたはスピーカ)を含む。そのようなシステムは、ディスクドライブ、光記憶デバイス、及びランダムアクセスメモリ(「RAM」)またはリードオンリーメモリ(「ROM」)などの固体記憶デバイスなどの一つ以上の記憶デバイス、ならびにリムーバブル媒体デバイス、メモリカード、フラッシュカードなども含むことができる。
【0069】
そのようなデバイスは、前述のようなコンピュータ可読記憶媒体リーダ、通信デバイス(例えば、モデム、ネットワークカード(無線または有線)、赤外線通信デバイスなど)、及びワーキングメモリも含むことができる。コンピュータ可読記憶媒体リーダは、コンピュータ可読記憶媒体、相当するリモート、ローカル、固定及び/またはリムーバブル記憶デバイス、ならびにコンピュータ可読情報を一時的に及び/またはより恒久的に含有、保存、伝送及び検索するための記憶媒体に接続できるまたはそれらを受け入れるように構成できる。システム及びさまざまなデバイスは、通常、クライアントアプリケーションまたはウェブブラウザなどのオペレーティングシステム及びアプリケーションプログラムを含む、少なくとも一つのワーキングメモリデバイス内に位置する多数のソフトウェアアプリケーション、モジュール、サービスまたは他の要素も含む。代替的な実施形態が前述からの数々のバリエーションを有することができることを認識すべきである。例えば、カスタマイズされたハードウェアも使用でき、かつ/または特定の要素をハードウェア、(アプレットなどの高移植性ソフトウェアを含む)ソフトウェアまたはその両方において実装することができる。さらに、ネットワーク入力/出力デバイスなどの他のコンピューティングデバイスとの接続を用いることができる。
【0070】
コードまたはコードの一部を含有するための記憶媒体及びコンピュータ可読媒体は、これらに限定されないが、RAM、ROM、電気的消去可能プログラマブルリードオンリーメモリ(「EEPROM」)、フラッシュメモリまたは他のメモリ技術を含む、コンピュータ可読命令、データ構造、プログラムモジュールまたは他のデータなどの情報を保存及び/または伝送するための任意の方法または技術において実装される揮発性の及び不揮発性の、リムーバブル及び非リムーバブル媒体、コンパクトディスク読出し専用メモリ(「CD-ROM」)、デジタル多用途ディスク(DVD)または他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気記憶デバイス、または所望の情報を保存するのに使用できる及びシステムデバイスによってアクセスできる任意の他の媒体などの記憶媒体及び通信媒体を含む、当業界において公知のまたは使用されている任意の適切な媒体を含むことができる。本開示及び本明細書に提供される教示に基づいて、当業者は、さまざまな実施形態を実施する他の様式及び/または方法を認識する。
【0071】
それに応じて、明細書及び図面は、限定的意味ではなく例証とみなされる。しかしながら、特許請求の範囲に説明されているような本発明のより広範な精神及び範囲から逸脱することなく、本発明にさまざまな修正及び変更を為せることが明白である。
【0072】
他のバリエーションも本開示の精神内にある。故に、開示した技術はさまざまな修正及び代替的な構造を受け入れることができるが、その特定の例証である実施形態を、図面に示し、詳細に前述した。しかしながら、開示した具体的な一つ以上の形態に本発明を限定する意図はなく、それどころか、その意図が、すべての修正、代替的な構造、及び添付の特許請求の範囲に定義されるような本発明の精神及び範囲内に収まる均等物を含むことを理解すべきである。
【0073】
開示した実施形態を記載する文脈における(とりわけ、以下の特許請求の範囲の文脈における)、「a」及び「an」ならびに「the」という用語、ならびに同様の指示対象の使用は、本明細書において別な様に示さない限りまたは文脈において明確に矛盾しない限り、単数形及び複数形の両方を含むように解釈されるべきである。「comprising(を備える)」、「having(を有する)」「including(を含む)」、及び「containing(を含有する)」という用語は、別な様に留意されていない限り、オープンエンド用語(すなわち、「including,but not limited to(を含むが、これに限定されない)」を意味する)として解釈されるべきである。「connected(接続された)」という用語は、修正されていなく、物理的接続を指すときには、何らかの介在物が存在する場合でさえも、共に取り付けられたまたは接合された、その内部に部分的または全体的に収容されていると解釈されるべきである。本明細書の値の範囲の列挙は、本明細書において別な様に示さない限り、単に、範囲内に収まる各々の別個の値を個々に指す簡単な方法として役立つように意図され、各々の別個の値は、本明細書に個々に列挙されるように本明細書に組み込まれる。「set(セット)」(例えば、「a set of items」(アイテムのセット)または「subset(サブセット)」という用語の使用は、別な様に留意されていない限りまたは文脈において矛盾しない限り、一つ以上の部材を備えた空でない集合として解釈されるべきである。さらに、別な様に留意されていない限りまたは文脈において矛盾しない限り、対応するセットの「subset(サブセット)」という用語は、必ずしも対応するセットの適切なサブセットを意味せず、むしろ、サブセットと、対応するセットとは等しい場合がある。
【0074】
「at least one of A,B,and C(A、Bの少なくとも一つ及びC)」または「at least one of A,B and C(A、B及びCの少なくとも一つ)」の形態の慣用句などの接続的な言葉は、別な様に具体的に示されていない限りまたはさもなければ文脈において明確に矛盾しない限り、通例、アイテム、用語などが、AまたはBまたはC、またはA及びB及びCのセットの任意の空でないサブセットのいずれかであり得ることを提示するのに利用されるように文脈においてさもなければ理解される。例として、3つの部材を有するセットの例証となる実施例では、「at least one of A,B,and C(A、Bの少なくとも一つ及びC)」及び「at least one of A,B and C(A、B及びCの少なくとも一つ)」という接続的な慣用句は、以下のセット、すなわち、{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}のいずれかを指す。故に、そのような接続的な言葉は、通常、特定の実施形態が、各々が存在し得る、Aの少なくとも一つ、Bの少なくとも一つ、Cの少なくとも一つを必要とすることを示唆することは意図しない。
【0075】
本明細書に記載するプロセスの動作は、本明細書において別な様に示さない限りまたはさもなければ文脈において明確に矛盾しない限り、任意の適切な順序で実行することができる。本明細書に記載するプロセス(または、それらのバリエーション及び/または組み合わせ)は、実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で実行することができる、及びハードウェアまたはそれらの組み合わせによって一つ以上のプロセッサにおいて集合的に実行するコード(例えば、実行可能命令、一つ以上のコンピュータプログラムまたは一つ以上のアプリケーション)として実装することができる。コードは、例えば、一つ以上のプロセッサによって実行可能な複数個の命令を含むコンピュータプログラムの形態において、コンピュータ可読記憶媒体に保存することができる。コンピュータ可読記憶媒体は、非一時的であっても良い。
【0076】
本明細書に提供される任意の及びすべての実施例または例示の言葉(例えば、「such as(などの)」)の使用は、別な様に主張されない限り、単に、本発明の実施形態の理解を容易にすることが意図され、本発明の範囲を制限しない。明細書中の言葉はすべて、本発明の実践に絶対不可欠なものとして任意の主張しない要素を示唆しないものとして解釈される。
【0077】
本開示の実施形態は、本発明を実行するための発明者らに既知の最良の形態を含んで本明細書に記載される。それらの実施形態のバリエーションは、先の記載を読んだ当業者に明らかになる。発明者らは、当業者が必要に応じてそのようなバリエーションを用いることを期待し、そして発明者らは、本開示の実施形態が本明細書に具体的に記載するのとは別な様に実践されることを意図する。それに応じて、本開示の範囲は、適用法によって許可されるようなこの文書に添付した特許請求の範囲に列挙した主題のすべての修正及び均等物を含む。その上、そのすべての可能なバリエーションにおける前述の要素の任意の組み合わせは、本明細書において別な様に示さない限りまたはさもなければ文脈において明確に矛盾しない限り、本開示の範囲に包含される。
【0078】
本明細書に引用された公開物、特許出願及び特許品を含むすべての参考文献は、各参考文献が個々にかつ具体的に表されるように参照により組み込まれ、かつ本明細書全体において説明されるのと同じ範囲において本文書に参照により組み込まれる。
【0079】
本開示の実施形態は、以下の条項を考慮して記載することができる。
【0080】
1.
実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で、
第一のデジタル証明書をエンティティに発行することと、ここで、前記第一のデジタル証明書が、前記エンティティの検証を証明機関サービスに可能にさせる重大な拡張子を規定し、前記第一のデジタル証明書が、
前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
第一の公開暗号鍵を規定し、
第一の秘密暗号鍵に対応し、かつ
前記第一のデジタル証明書についての第一の有効期間を規定し、
前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信することと、ここで、前記リクエストが、前記第一のデジタル証明書及びデジタル署名を含み、前記第二のデジタル証明書が、前記エンティティのサーバを認証するために使用可能であり、
前記第一のデジタル証明書内の規定の有効期間及び前記第一の公開暗号鍵に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定することと、及び
前記少なくとも一つのサブジェクトフィールド、及び前記第一の有効期間よりも短い第二の有効期間を有するように前記第二のデジタル証明書を発行することと、を含む、コンピュータ実施方法。
実行可能命令を含んで構成された一つ以上のコンピュータシステムの制御下で、
第一のデジタル証明書をエンティティに発行することと、ここで、前記第一のデジタル証明書が、前記エンティティの検証を証明機関サービスに可能にさせる重大な拡張子を規定し、前記第一のデジタル証明書が、
前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
第一の公開暗号鍵を規定し、
第一の秘密暗号鍵に対応し、かつ
前記第一のデジタル証明書についての第一の有効期間を規定し、
前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信することと、ここで、前記リクエストが、前記第一のデジタル証明書及びデジタル署名を含み、前記第二のデジタル証明書が、前記エンティティのサーバを認証するために使用可能であり、
前記第一のデジタル証明書内の規定の有効期間及び前記第一の公開暗号鍵に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定することと、及び
前記少なくとも一つのサブジェクトフィールド、及び前記第一の有効期間よりも短い第二の有効期間を有するように前記第二のデジタル証明書を発行することと、を含む、コンピュータ実施方法。
【0081】
2.
前記エンティティの検証を証明機関サービスに可能にさせる前記重大な拡張子が、さらに、前記エンティティの前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止する、条項1に記載のコンピュータ実施方法。
前記エンティティの検証を証明機関サービスに可能にさせる前記重大な拡張子が、さらに、前記エンティティの前記サーバを認証するために前記第一のデジタル証明書が使用されることを阻止する、条項1に記載のコンピュータ実施方法。
【0082】
3.
前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記証明機関サービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記証明機関サービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を規定する、条項1または2に記載のコンピュータ実施方法。
前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記証明機関サービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記証明機関サービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を規定する、条項1または2に記載のコンピュータ実施方法。
【0083】
4.
前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書に規定された前記第一の公開暗号鍵とは異なる第二の公開暗号鍵を含む、条項1~3のいずれか1項に記載のコンピュータ実施方法。
前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書に規定された前記第一の公開暗号鍵とは異なる第二の公開暗号鍵を含む、条項1~3のいずれか1項に記載のコンピュータ実施方法。
【0084】
5.
一つ以上のサービスを実施するように構成された少なくとも一つのコンピューティングデバイスを備えたシステムであって、前記一つ以上のサービスが、
第一のデジタル証明書をエンティティに発行し、ここで、前記第一のデジタル証明書が、
前記エンティティの検証を前記一つ以上のサービスに可能にさせ、かつ
前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信し、ここで、前記リクエストが、前記エンティティを認証するために使用可能な前記第一のデジタル証明書及び前記第二のデジタル証明書を含み、
前記第一のデジタル証明書内の規定の情報に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定し、かつ
前記第一のデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有するように前記第二のデジタル証明書を発行するように構成された、前記システム。
一つ以上のサービスを実施するように構成された少なくとも一つのコンピューティングデバイスを備えたシステムであって、前記一つ以上のサービスが、
第一のデジタル証明書をエンティティに発行し、ここで、前記第一のデジタル証明書が、
前記エンティティの検証を前記一つ以上のサービスに可能にさせ、かつ
前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定し、
前記エンティティから、第二のデジタル証明書を発行するためのリクエストを受信し、ここで、前記リクエストが、前記エンティティを認証するために使用可能な前記第一のデジタル証明書及び前記第二のデジタル証明書を含み、
前記第一のデジタル証明書内の規定の情報に少なくともある程度基づいて、前記第二のデジタル証明書を発行するか否かを決定し、かつ
前記第一のデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有するように前記第二のデジタル証明書を発行するように構成された、前記システム。
【0085】
6.
前記第二のデジタル証明書を発行するための前記リクエストがデジタル署名を含み、かつ
前記一つ以上のサービスが、さらに、前記第一のデジタル証明書内の規定の公開暗号鍵を使用して前記デジタル署名を確認するように構成された、条項5に記載のシステム。
前記第二のデジタル証明書を発行するための前記リクエストがデジタル署名を含み、かつ
前記一つ以上のサービスが、さらに、前記第一のデジタル証明書内の規定の公開暗号鍵を使用して前記デジタル署名を確認するように構成された、条項5に記載のシステム。
【0086】
7.
前記第一のデジタル証明書内の規定の前記情報が、前記第一のデジタル証明書についての有効期間を含み、かつ
前記一つ以上のサービスが、さらに、前記第一のデジタル証明書についての前記有効期間を利用して、前記第一のデジタル証明書が満期になってなく、かつ前記第二のデジタル証明書を発行するために利用できることを確認するように構成された、条項5または6に記載のシステム。
前記第一のデジタル証明書内の規定の前記情報が、前記第一のデジタル証明書についての有効期間を含み、かつ
前記一つ以上のサービスが、さらに、前記第一のデジタル証明書についての前記有効期間を利用して、前記第一のデジタル証明書が満期になってなく、かつ前記第二のデジタル証明書を発行するために利用できることを確認するように構成された、条項5または6に記載のシステム。
【0087】
8.
前記第二のデジタル証明書の前記情報が、前記第一のデジタル証明書についての前記有効期間よりも短い有効期間を規定する、条項7に記載のシステム。
前記第二のデジタル証明書の前記情報が、前記第一のデジタル証明書についての前記有効期間よりも短い有効期間を規定する、条項7に記載のシステム。
【0088】
9.
前記第二のデジタル証明書に含まれる前記情報が、さらに、前記第二のデジタル証明書を発行するための前記リクエスト内の、前記エンティティによって規定された有効期間に少なくともある程度基づく、条項5~8のいずれか1項に記載のシステム。
前記第二のデジタル証明書に含まれる前記情報が、さらに、前記第二のデジタル証明書を発行するための前記リクエスト内の、前記エンティティによって規定された有効期間に少なくともある程度基づく、条項5~8のいずれか1項に記載のシステム。
【0089】
10.
前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書内に含まれない一つ以上の追加のサブジェクトフィールドを有するように発行された、条項5~9のいずれか1項に記載のシステム。
前記第二のデジタル証明書が、さらに、前記第一のデジタル証明書内に含まれない一つ以上の追加のサブジェクトフィールドを有するように発行された、条項5~9のいずれか1項に記載のシステム。
【0090】
11.
前記第一のデジタル証明書が、前記第一のデジタル証明書を認証のために使用すべきでないことを表す重大な拡張子を規定する、条項5~10のいずれか1項に記載のシステム。
前記第一のデジタル証明書が、前記第一のデジタル証明書を認証のために使用すべきでないことを表す重大な拡張子を規定する、条項5~10のいずれか1項に記載のシステム。
【0091】
12.
前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記一つ以上のサービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記一つ以上のサービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を含む、条項11に記載のシステム。
前記重大な拡張子が、前記第一のデジタル証明書の発行よりも前の、前記一つ以上のサービスによる前記エンティティの検証の日付、前記エンティティを検証するために前記一つ以上のサービスによって利用される一つ以上の基準、及び前記エンティティに対応する識別子を含む、条項11に記載のシステム。
【0092】
13.
コンピュータシステムの一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、少なくとも、
エンティティから、前記エンティティを認証するために使用可能なデジタル証明書を発行するためのリクエストを受信させる、ここで、前記リクエストが、証明機関サービスが前記エンティティを検証し、かつ前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定するのに使用可能な以前に発行されたデジタル証明書を含み、
前記以前に発行されたデジタル証明書内の規定の情報に少なくともある程度基づいて、前記デジタル証明書を発行するか否かを決定させる、及び
前記以前に発行されたデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有する前記デジタル証明書を発行させる、実行可能命令をそこに保存した非一時的コンピュータ可読記憶媒体。
コンピュータシステムの一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、少なくとも、
エンティティから、前記エンティティを認証するために使用可能なデジタル証明書を発行するためのリクエストを受信させる、ここで、前記リクエストが、証明機関サービスが前記エンティティを検証し、かつ前記エンティティに特有の少なくとも一つのサブジェクトフィールドを規定するのに使用可能な以前に発行されたデジタル証明書を含み、
前記以前に発行されたデジタル証明書内の規定の情報に少なくともある程度基づいて、前記デジタル証明書を発行するか否かを決定させる、及び
前記以前に発行されたデジタル証明書内の規定の前記情報に少なくともある程度基づく情報、及び前記エンティティに特有の前記少なくとも一つのサブジェクトフィールドを有する前記デジタル証明書を発行させる、実行可能命令をそこに保存した非一時的コンピュータ可読記憶媒体。
【0093】
14.
前記命令が、さらに、前記コンピュータシステムの前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記リクエスト内の前記エンティティによって規定された所望の有効期間を取得させて、前記第二のデジタル証明書を発行するか否かを決定させる命令を含む、条項13に記載の非一時的コンピュータ可読記憶媒体。
前記命令が、さらに、前記コンピュータシステムの前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記リクエスト内の前記エンティティによって規定された所望の有効期間を取得させて、前記第二のデジタル証明書を発行するか否かを決定させる命令を含む、条項13に記載の非一時的コンピュータ可読記憶媒体。
【0094】
15.
前記以前に発行されたデジタル証明書が、前記以前に発行されたデジタル証明書を発行するための、前記エンティティからのリクエストに応答して、前記コンピュータシステムによって発行された、条項13または14に記載の非一時的コンピュータ可読記憶媒体。
前記以前に発行されたデジタル証明書が、前記以前に発行されたデジタル証明書を発行するための、前記エンティティからのリクエストに応答して、前記コンピュータシステムによって発行された、条項13または14に記載の非一時的コンピュータ可読記憶媒体。
【0095】
16.
前記以前に発行されたデジタル証明書が、さらに、秘密暗号鍵に対応する公開暗号鍵を規定し、
前記以前に発行されたデジタル証明書内の規定の前記情報が、前記以前に発行されたデジタル証明書についての有効期間を含み、かつ
前記命令が、さらに、前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記有効期間を利用させて、前記以前に発行されたデジタル証明書が満期になってなく、かつ前記デジタル証明書を発行するために利用できることを確認させる命令を含む、条項13~15のいずれか1項に記載の非一時的コンピュータ可読記憶媒体。
前記以前に発行されたデジタル証明書が、さらに、秘密暗号鍵に対応する公開暗号鍵を規定し、
前記以前に発行されたデジタル証明書内の規定の前記情報が、前記以前に発行されたデジタル証明書についての有効期間を含み、かつ
前記命令が、さらに、前記一つ以上のプロセッサによって実行されたときに、前記コンピュータシステムに、前記有効期間を利用させて、前記以前に発行されたデジタル証明書が満期になってなく、かつ前記デジタル証明書を発行するために利用できることを確認させる命令を含む、条項13~15のいずれか1項に記載の非一時的コンピュータ可読記憶媒体。
【0096】
17.
前記発行されたデジタル証明書内に含まれる前記情報が、前記以前に発行されたデジタル証明書についての前記有効期間よりも短い有効期間を規定する、条項16に記載の非一時的コンピュータ可読記憶媒体。
前記発行されたデジタル証明書内に含まれる前記情報が、前記以前に発行されたデジタル証明書についての前記有効期間よりも短い有効期間を規定する、条項16に記載の非一時的コンピュータ可読記憶媒体。
【0097】
18.
前記デジタル証明書を発行するための前記リクエストが、前記公開暗号に対応する前記秘密暗号鍵を利用して前記エンティティによってデジタル署名された、条項16または17に記載の非一時的コンピュータ可読記憶媒体。
前記デジタル証明書を発行するための前記リクエストが、前記公開暗号に対応する前記秘密暗号鍵を利用して前記エンティティによってデジタル署名された、条項16または17に記載の非一時的コンピュータ可読記憶媒体。
【0098】
19.
前記以前に発行されたデジタル証明書が、前記エンティティを検証するために利用される一つ以上の基準を含む重大な拡張子を規定する、条項13~18のいずれか1項に記載の非一時的コンピュータ可読記憶媒体。
前記以前に発行されたデジタル証明書が、前記エンティティを検証するために利用される一つ以上の基準を含む重大な拡張子を規定する、条項13~18のいずれか1項に記載の非一時的コンピュータ可読記憶媒体。
【0099】
20.
前記重大な拡張子が、さらに、前記以前に発行されたデジタル証明書を認証のために使用すべきでないことを表す、条項19に記載の非一時的コンピュータ可読記憶媒体。
前記重大な拡張子が、さらに、前記以前に発行されたデジタル証明書を認証のために使用すべきでないことを表す、条項19に記載の非一時的コンピュータ可読記憶媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】