(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211341239.6 (22)申请日 2022.10.31 (71)申请人 麒麟软件有限公司 地址 300450 天津市滨 海新区塘沽海 洋科 技园信安创业广场3号楼6 -8层 (72)发明人 史晶　张超　郭俊余　彭欢　 魏立峰　孔金珠　程启　王新　 (74)专利代理 机构 北京汇智英财专利代理有限 公司 11301 专利代理师 何晖 (51)Int.Cl. G06F 21/33(2013.01) G06F 21/60(2013.01) G06F 21/64(2013.01) (54)发明名称 证书管理方法 (57)摘要 本发明涉及证书管理方法， 包括： 定时监测 证书安装目录下是否有证书存在， 若没有， 则继 续判断证书备份目录下是否有证书存在， 若二者 都没有证书存在， 则触发警报邮件通知相关部门 处理， 若证书备份目录中有证书存在， 则将其中 的证书导入到证书安装目录中； 在系统升级或者 恢复出厂设置之前， 判断证书备份目录下是否有 证书存在， 如果没有则将证书安装目录下的证书 导出到证书备份目录下， 并在系统升级或者恢复 出厂设置后， 将其导出到安装目录中。 本发明通 过对证书安装和备份目录进行监测， 实现了证书 的自动导入和导出管理， 并且， 通过将证书的备 份目录安装在外部存储上， 在软件升级、 系统恢 复出厂设置使用场景中， 证书仍然可用。 权利要求书2页 说明书5页 附图3页 CN 115481385 A 2022.12.16 CN 115481385 A 1.一种证书管理方法， 其特 征在于包括： 定时监测证书安装目录/etc/kylin/cert下是否有证书存在， 若没有， 则继续判断证书 备份目录/backc ert下是否有证书存在， 如果证书安装目录/ etc/kylin/cert及证书备份目 录/backcert 中都没有证书存在， 则触发警报邮件通知相关部门处理， 如果证书备份目录/ backcert中有证书存在， 则将证书备份目录/backcert中的证书导入到证书安装目录/etc/ kylin/cert中； 在系统升级或者恢复出厂设置之前， 判断证书备份目录/backcert下是否有证书存在， 如果没有则将证书安装目录/etc/kylin/cert下的证书导出到证书备份目录/backcert下， 并在系统升级或者恢复出厂设置后， 将证书备份目录/backcert下的证书导入证书安装目 录/etc/kylin/cert中。 2.如权利要求1所述的证书管理方法， 其特征在于： 在进行证书管理之前， 先通过如下 步骤进行外 部存储的初始化： 步骤S1： 从配置文件中读取M2盘的挂载路径并判断是否存在； 步骤S2： 若步骤S1中的挂载路径存在， 则将 路径挂载到证书备份目录/backcert下并使 用mkfs.ext4格式化； 步骤S3： 使用e2label并为挂载路径设置标签 “external  _storage ”， 用udevadm   trigger 同步设备信息， 并更新/etc /fstab 文件。 3.如权利要求1所述的证书管理方法， 其特征在于： 将证书安装 目录/etc/kylin/cert 下的证书导出到证书备份目录 /backcer t下包括如下步骤： 步骤Sa： 判断指定证书备份目录  /backcert是否存在， 如果不存在， 创建目录并修改目 录权限为070 0， 然后创建证书 文件， 以“系统序列号.pfx ”命名； 步骤Sb： 生成证书导出密码口令； 步骤Sc： 使用openssl及PKCS#12工具将证书信息打包导出到证书备份目录/backcert 下； 导出时， 使用步骤Sb所生成的密码口令对导出 过程进行加密。 4.如权利要求3所述的证书管理方法， 其特征在于： 所述步骤Sb 中， 如果密码口令不存 在， 则使用openssl命令对长度为128的随机字符串进行base64编码， 生 成密码文件， 并放到 指定位置 。 5.如权利要求3所述的证书管理方法， 其特征在于： 在执行导出操作前， 将证书的主题 备用名称设置为系统的序列号。 6.如权利要求5所述的证书管理方法， 其特征在于： 将证书备份目录/backcert下的证 书导入证书安装目录 /etc/kylin/cert包括如下步骤： 步骤Sd： 判断证书备份目录/backcert是否存在； 若不存在则直接退出， 若存在则继续 执行下一步； 步骤Se： 判断证书备份目录/backcert下以 “系统序列号.pfx ”命名的证书是否存在； 若 不存在则直接退 出， 若存在则继续执 行下一步； 步骤Sf： 判断证书安装目录/etc/kylin/cert是否存在， 如果不存在则用管理员权限新 建目录/etc/kylin/cert， 将其权限修改成640； 步骤Sg： 判断证书安装目录/etc/kylin/cert下是否有证书文件； 若有则将证书安装目 录/etc/kylin/cert重命名并将目录下的文件移动到 /etc/kylin/cert.bak/下；权　利　要　求　书 1/2 页 2 CN 115481385 A 2步骤Sh： 用openssl及  PKCS#12工具将私钥和证书文件导入到证书安装目录/etc/ kylin/cert/下， 私钥和证书 文件都以tmp为后缀； 步骤Si： 提取证书的主题备用名称； 步骤Sj： 判断证书的主题备用名称和系统序列号是否相同， 如果不同说明证书有误， 将 带有tmp后缀的文件删除， 并将/et c/kylin/c ert.bak/下的文件拷贝回证书安装目录/ etc/ kylin/cert； 如果主题备用名称和系统序列号相同否则视为导入成功， 将证书和私钥文件 重命名： 去掉tmp后缀， 并将证书安装目录/etc/kylin/cert设置为只读模 式， 同时将/etc/ kylin/cert.bak/目录删掉。 7.如权利要求6所述的证书管理方法， 其特征在于： 步骤Sh中， 对证书进行导入操作时， 使用步骤Sb所生成的密码口令对导入过程进行加密。权　利　要　求　书 2/2 页 3 CN 115481385 A 3