一种数字证书的到期预警方法、装置、系统、设备及介质与流程

本技术涉及数字证书管理，尤其涉及一种数字证书的到期预警方法、装置、系统、设备及介质。

背景技术：

1、bios（basic input and output system，基本输入输出系统）是一组固化到计算机内主板上一个rom（read only memory image，只读存储器镜像）芯片上的程序，它保存着计算机最重要的开机上电自检、硬件初始化程序和系统底层的服务程序等。

2、在主板出厂时可以内置一些数字证书，即db证书，它里面带有公钥，用于验证启动项的签名。然后，任何想要在这块主板上加载的操作系统或者硬件驱动程序，均需要通过公钥的认证。即这些软件必须用对应的私钥签署，否则主板拒绝加载。当计算机启动时，secure boot（即安全启动，目的是防止恶意软件侵入）会使用db（database，数字证书的集合）证书中的公共密钥来验证启动项的签名。如果签名有效，启动项被认为是受信任的，并且可以加载。如果签名无效或者没有对应的证书，secure boot会拒绝加载启动项，从而保护系统免受恶意软件的攻击。

3、目前，往往是到加载的对应的操作系统启动项的私钥被对应的数字证书中的公钥校验失败时才知道数字证书过期了，需要更换才能成功启动操作系统，从而导致操作系统的启动延时，无法保障业务的流畅运行。同时，上述数字证书过期检查方式，需要人工进行检查，检查效率较低，且导致了人力资源的浪费。

技术实现思路

1、本技术实施例提供一种数字证书的到期预警方法、装置、系统、设备及介质，以解决现有技术中数字证书过期检查方式会导致操作系统的启动延时，无法保障业务的流畅运行，且检查效率较低，导致人力资源浪费的问题。

2、为了解决上述技术问题，本技术实施例是这样实现的：

3、第一方面，本技术实施例提供了一种数字证书的到期预警方法，应用于bmc，所述方法包括：

4、获取存储于bios内的数字证书的证书过期时间；

5、基于bmc的当前系统时间和所述证书过期时间，确定所述数字证书是否过期；

6、在确定所述数字证书未过期的情况下，基于所述当前系统时间和所述证书过期时间，确定所述数字证书的到期剩余时长；

7、在确定所述到期剩余时长小于预先配置的预警提示时长的情况下，基于所述到期剩余时长，生成用于指示所述数字证书的到期时长的第一预警信息。

8、可选地，所述基于所述到期剩余时长，生成用于指示所述数字证书的到期时长的第一预警信息，包括：

9、确定所述数字证书是否预先配置有白名单机制；

10、在确定所述数字证书配置有所述白名单机制的情况下，确定所述数字证书是否处于预先设置的数字证书白名单内；

11、在确定所述数字证书处于所述数字证书白名单内的情况下，基于所述到期剩余时长，生成所述第一预警信息。

12、可选地，所述基于所述到期剩余时长，生成用于指示所述数字证书的到期时长的第一预警信息，包括：

13、确定所述数字证书是否预先配置有白名单机制；

14、在确定所述数字证书未配置有所述白名单机制的情况下，基于所述到期剩余时长，生成所述第一预警信息。

15、可选地，在所述基于所述到期剩余时长，生成所述第一预警信息之后，还包括：

16、获取所述数字证书的最新版本的证书信息；

17、将所述最新版本的证书信息存储于共享内存中，并在所述共享内存中将所述数字证书的证书更新标志位置更新为未更新标志，以由所述bios从所述共享内存中获取所述最新版本的证书信息，并根据所述最新版本的证书信息更新所述数字证书。

18、可选地，在所述将所述最新版本的证书信息存储于共享内存中之后，还包括：

19、获取所述bios发送的所述数字证书的第一更新成功信息；

20、基于所述第一更新成功信息，生成并输出所述数字证书的第一预警解除信息；

21、在所述共享内存中，将所述数字证书的证书更新标志位置更新为已更新标志。

22、可选地，在所述确定所述数字证书是否处于预先设置的数字证书白名单内之后，还包括：

23、在确定所述数字证书未处于所述数字证书白名单内的情况下，不生成所述数字证书的预警信息，结束所述数字证书的预警流程。

24、可选地，所述获取所述数字证书的最新版本的证书信息，包括：

25、获取所述数字证书的证书名称；

26、从证书维护库中查询所述证书名称对应的所述最新版本的证书信息。

27、可选地，在所述基于bmc的当前系统时间和所述证书过期时间，确定所述数字证书是否过期之后，还包括：

28、响应于所述数字证书已过期，基于所述数字证书的证书名称和所述证书过期时间，生成用于指示所述数字证书已过期的第二预警信息；

29、输出所述第二预警信息。

30、可选地，所述基于所述数字证书的证书名称和所述证书过期时间，生成用于指示所述数字证书已过期的第二预警信息，包括：

31、确定所述数字证书是否预先配置有白名单机制；

32、响应于所述数字证书配置有所述白名单机制，确定所述数字证书是否处于预先设置的数字证书白名单内；

33、响应于所述数字证书处于所述数字证书白名单内，基于所述数字证书的证书名称和所述证书过期时间，生成所述第二预警信息。

34、可选地，所述基于所述数字证书的证书名称和所述证书过期时间，生成用于指示所述数字证书已过期的第二预警信息，包括：

35、确定所述数字证书是否预先配置有白名单机制；

36、响应于所述数字证书未配置有所述白名单机制，基于所述数字证书的证书名称和所述证书过期时间，生成所述第二预警信息。

37、可选地，在所述基于所述数字证书的证书名称和所述证书过期时间，生成所述第二预警信息之后，还包括：

38、获取所述数字证书的最新版本的证书信息；

39、将所述最新版本的证书信息存储于共享内存中，并在所述共享内存中将所述数字证书的证书更新标志位置更新为未更新标志，以由所述bios从所述共享内存中获取所述最新版本的证书信息，并根据所述最新版本的证书信息更新所述数字证书。

40、可选地，在所述将所述最新版本的证书信息存储于共享内存中，并在所述共享内存中将所述数字证书的证书更新标志位置更新为未更新标志之后，还包括：

41、获取所述bios发送的所述数字证书的第二更新成功信息；

42、基于所述第二更新成功信息，生成并输出所述数字证书的第二预警解除信息；

43、在所述共享内存中，将所述数字证书的证书更新标志位置更新为已更新标志。

44、第二方面，本技术实施例提供了一种数字证书的到期预警装置，应用于bmc，所述装置包括：

45、证书过期时间获取模块，用于获取存储于bios内的数字证书的证书过期时间；

46、数字证书确定模块，用于基于bmc的当前系统时间和所述证书过期时间，确定所述数字证书是否过期；

47、到期剩余时长确定模块，用于在确定所述数字证书未过期的情况下，基于所述当前系统时间和所述证书过期时间，确定所述数字证书的到期剩余时长；

48、第一预警信息生成模块，用于在确定所述到期剩余时长小于预先配置的预警提示时长的情况下，基于所述到期剩余时长，生成用于指示所述数字证书的到期时长的第一预警信息。

49、可选地，所述第一预警信息生成模块包括：

50、第一机制确定单元，用于确定所述数字证书是否预先配置有白名单机制；

51、白名单确定单元，用于在确定所述数字证书配置有所述白名单机制的情况下，确定所述数字证书是否处于预先设置的数字证书白名单内；

52、第一预警信息生成单元，用于在确定所述数字证书处于所述数字证书白名单内的情况下，基于所述到期剩余时长，生成所述第一预警信息。

53、可选地，所述基于所述到期剩余时长，生成用于指示所述数字证书的到期时长的预警信息，包括：

54、第二机制确定单元，用于确定所述数字证书是否预先配置有白名单机制；

55、第二预警信息生成单元，用于在确定所述数字证书未配置有所述白名单机制的情况下，基于所述到期剩余时长，生成所述第一预警信息。

56、可选地，所述装置还包括：

57、证书信息获取模块，用于获取所述数字证书的最新版本的证书信息；

58、证书信息存储模块，用于将所述最新版本的证书信息存储于共享内存中，并在所述共享内存中将所述数字证书的证书更新标志位置更新为未更新标志，以由所述bios从所述共享内存中获取所述最新版本的证书信息，并根据所述最新版本的证书信息更新所述数字证书。

59、可选地，所述装置还包括：

60、第一更新信息获取模块，用于获取所述bios发送的所述数字证书的第一更新成功信息；

61、第一解除信息生成模块，用于基于所述第一更新成功信息，生成并输出所述数字证书的第一预警解除信息；

62、证书标志更新模块，用于在所述共享内存中，将所述数字证书的证书更新标志位置更新为已更新标志。

63、可选地，所述装置还包括：

64、预警流程结束模块，用于在确定所述数字证书未处于所述数字证书白名单内的情况下，不生成所述数字证书的预警信息，结束所述数字证书的预警流程。

65、可选地，所述证书信息获取模块包括：

66、证书名称获取单元，用于获取所述数字证书的证书名称；

67、证书信息获取单元，用于从证书维护库中查询所述证书名称对应的所述最新版本的证书信息。

68、可选地，所述装置还包括：

69、第二预警信息生成模块，用于响应于所述数字证书已过期，基于所述数字证书的证书名称和所述证书过期时间，生成用于指示所述数字证书已过期的第二预警信息；

70、第二预警信息输出模块，用于输出所述第二预警信息。

71、可选地，所述第二预警信息生成模块包括：

72、第三机制确定单元，用于确定所述数字证书是否预先配置有白名单机制；

73、证书白名单确定单元，用于响应于所述数字证书配置有所述白名单机制，确定所述数字证书是否处于预先设置的数字证书白名单内；

74、第三预警信息生成单元，用于响应于所述数字证书处于所述数字证书白名单内，基于所述数字证书的证书名称和所述证书过期时间，生成所述第二预警信息。

75、可选地，所述第二预警信息生成模块包括：

76、第四机制确定单元，用于确定所述数字证书是否预先配置有白名单机制；

77、第四预警信息生成单元，用于响应于所述数字证书未配置有所述白名单机制，基于所述数字证书的证书名称和所述证书过期时间，生成所述第二预警信息。

78、可选地，所述装置还包括：

79、最新版本信息获取模块，用于获取所述数字证书的最新版本的证书信息；

80、最新版本信息存储模块，用于将所述最新版本的证书信息存储于共享内存中，并在所述共享内存中将所述数字证书的证书更新标志位置更新为未更新标志，以由所述bios从所述共享内存中获取所述最新版本的证书信息，并根据所述最新版本的证书信息更新所述数字证书。

81、可选地，所述装置还包括：

82、第二更新信息获取模块，用于获取所述bios发送的所述数字证书的第二更新成功信息；

83、第二解除信息生成模块，用于基于所述第二更新成功信息，生成并输出所述数字证书的第二预警解除信息；

84、证书标志位置更新模块，用于在所述共享内存中，将所述数字证书的证书更新标志位置更新为已更新标志。

85、第三方面，本技术实施例提供了一种数字证书的到期预警系统，所述系统包括：bios和bmc，所述bios与所述bmc通信连接，其中，

86、所述bios，用于将数字证书的证书过期时间发送给所述bmc；

87、所述bmc，用于基于当前系统时间和所述证书过期时间，确定所述数字证书是否过期，在确定所述数字证书未过期的情况下，基于所述当前系统时间和所述证书过期时间，确定所述数字证书的到期剩余时长，在确定所述到期剩余时长小于预先配置的预警提示时长的情况下，基于所述到期剩余时长，生成用于指示所述数字证书的到期时长的第一预警信息。

88、可选地，所述系统还包括：cpu和os操作系统，

89、所述bmc，还用于从证书维护库中获取所述数字证书的最新版本的证书信息，将所述最新版本的证书信息存储于共享内存中，并在所述共享内存中将所述数字证书的证书更新标志位置更新为未更新标志；

90、所述cpu，用于从所述共享内存中抓取所述最新版本的证书信息；

91、所述os操作系统，用于校验所述最新版本的证书信息的有效性；

92、所述bios，还用于从所述cpu内读取经有效性校验成功的所述最新版本的证书信息，并根据所述最新版本的证书信息更新所述数字证书。

93、第四方面，本技术实施例提供了一种电子设备，包括：

94、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述任一项所述的数字证书的到期预警方法。

95、第五方面，本技术实施例提供了一种可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得电子设备能够执行上述任一项所述的数字证书的到期预警方法。

96、在本技术实施例中，通过获取存储于bios内的数字证书的证书过期时间。基于bmc的当前系统时间和证书过期时间，确定数字证书是否过期。在确定数字证书未过期的情况下，基于当前系统时间和证书过期时间，确定数字证书的到期剩余时长。在确定到期剩余时长小于预先配置的预警提示时长的情况下，基于到期剩余时长，生成用于指示数字证书的到期时长的第一预警信息。本技术实施例通过bmc根据当前系统时间和证书过期时间检查数字证书是否过期并提前预警数字证书还要多少天过期，同时，在达到预警提示时长时，生成数字证书的到期预警，可以让运维人员提前规避因证书过期导致的问题，更智能的运维，保障了业务的流畅运行。且无需人工检查数字证书是否过期，节约了人力资源。

97、上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。