APP下载

Windows Server 2012证书新功能

2017-11-23

网络安全和信息化 2017年5期
关键词:私钥集中式右键

证书对于保护系统安全是很重要的,利用证书服务,可以在客户端和服务器通讯时,对传输的数据进行加密,来保证其安全性,防止黑客非法拦截和嗅探。在Windows Server 2012中,针对证书提供了一些新功能。例如,所有的证书角色在任意版本的Windows Server 2012中都能够支持,包括Windows Server Core模式在内。对于证书服务来说,使用者颁发的证书如果需要续约的话,对于工作组的计算机来说,可以使用相同的密钥进行续约。这里就以证书申请加密和集中式SSL支持为例,进行相关的介绍。

使用证书申请加密功能

在Windows Server 2008 R2中已经提供了证书申请加密功能,但是默认情况下并未启用。在Windows Server 2012中,已经默认启用了该功能。当启用了该功能后,可以看到当Windows XP等老系统的主机在申请证书时,是无法成功的。例如,在域环境中,在域控制器上安装的是Windows Server 2012,首先需要将其配置成证书服务器。在服务器管理器中点击菜单“管理→添加角色和功能”项,在向导界面中依次点击“下一步”按钮,在“角色”列表中选择“Active Directory证书服务”项,以后依次点击“下一步”按钮,在“角色服务”列表中选择“证书颁发机构”项,之后执行该角色的安装操作。

当安装完毕后,点击“配置目标服务器上的Active Directory证书服务”链接,在配置界面(如图1)中点击“下一步”按钮,在“选择要配置的角色服务”列表中选择“证书颁发机构”项,在“下一步”窗口中选择“企业CA”项,在指定CA类型界面中选择“根CA”项。在下一步窗口中选择“创建新的私钥”项,对于加密选项保持默认即可。在“指定CA名称”界面中可以设置该CA的公用名称,可分辨名称后缀、预览可分辨名称等参数。之后的设置均保持默认。点击“配置”按钮,完成所需的配置操作。

当安装好了活动目录的证书角色后,该控制器才可以为客户端提供证书服务。

点击“Win+R”键,执行“mmc”命令,在控制台界面中点击菜单“文件→添加/删除管理单元”项,在弹出窗口左侧列表中选择“证书”项,点击“添加”按钮,在证书管理单元窗口中选择“计算机账户”项,点击“确认”按钮。

在控制台左侧选择“证书→个人→证书”项,在证书的右键菜单中点击“所有任务→导出”项,在导出向导窗口(如图2)中点击“下一步”按钮,在“导出私钥”窗口中选择“不,不要导出私钥”项,点击“下一步”按钮。在“文件名”栏中点击“浏览”按钮,设置导出文件名称。点击“完成”按钮,执行证书导出操作。之后将导出的证书文件复制到客户端中。

图1 证书配置向导界面

图2 证书导出界面

例如,在Windows XP等老系统中按照上述步骤,打开控制台,添加证书管理单元,在控制台左侧点击“证书→受信任的根证书颁发机构→证书”项,在右键菜单上点击“所有任务→导入”项,在向导中的“要导入的文件”窗口中点击“浏览”按钮,选择上述证书文件。在“证书存储”窗口中选择“将所有证书放入下列存储区”项,在下一步窗口中点击“完成”按钮,完成证书导入操作。这样,客户端就可以信任根证书的颁发机构。

在左侧选择“证书→个人→证书”项,在右键菜单中点击“所有任务→申请新证书”项,在向导中的证书类别中选择“计算机”项,在下一窗口中设置易于记忆的证书名称和描述信息。

点击“完成”,系统弹出“证书申请失败,此证书颁发机构的权限不允许当前用户注册证书”的警告信息。这是因为在默认情况下,Windows Server 2012的证书颁发机构要求客户端提供的证书申请是加密的,但是Windows XP等老系统在申请证书时并未加密,才导致出现上述问题。为了解决该问题,可以在Windows Server 2012中打开cmd窗口,执行“certutil –setreg CAInterfaceFlags –IF_ENFORCEENCRYPTICERTREQUEST”命令,将安全界别进行更改,之 后 执 行“net stop certsvc” 和“net start certsvc”命令,重启证书服务。之后在Windows XP中就可以按照上述方法,顺利申请证书了。

使用集中式SSL支持功能

在Windows Server 2012中的IIS 8.0组件中,提供了集中式SSL支持功能,可以更好地绑定证书。例如,在域环境中,存在两台IIS服务器,用来实现Web负载均衡。首先在域控制器上执行初始化的配置,在DNS管理器中左侧点击“DNS→DC→正向查找区域→具体的域名”项,在其中可以查看两台IIS服务器的记录信息。例如,可以将其配置为IIS允许的负载均衡,在右键菜单中点击“新建主机(A或 AAAA)”项,在新建主机窗口中输入其名称、IP地址等信息,点击“添加主机”按钮,完成添加操作。同理,为两台IIS主机分别添加主机记录。

在应用界面中点击“证书颁发机构”程序项,在弹出窗口左侧选择“证书颁发机构→XXX-DC-CA-1→证书模板”项,其中的“XXX”表示具体的域名。在右侧窗口的右键菜单上点击“管理”项,在证书模板窗口(如图3)中显示所有的证书项目,选择“Web 服务器”项,在右键菜单上点击“复制模板”项,在属性窗口“兼容性”面板中的“证书颁发机构”列表中选择“Windows Server2012”项,在“证书接收人”列表中选 择“Windows 8/Windows Server 2012”项,在“请求处理”面板中选择“允许导出私钥”项,在“使用者名称”面板中选择“在请求中提供”项,在“安全”面板中选择“Authenticated Users”项,并选择允许注册权限。点击“应用”按钮,激活配置信息。

图3 证书模板管理窗口

在证书颁发机构窗口右侧的右键菜单中选择“新建→要颁发的证书模板”项,在启用证书模板窗口中选择“Web服务器的副本”项,即上述新建的证书模板。完成准备工作后,就可以为IIS服务器颁发证书了。

按照常规的方法,需要在IIS服务器中打开控制台界面,添加证书管理单元,在左侧选择“证书→个人→证书”项,在右侧窗口的右键菜单中点击“所有任务→申请新证书”项,在向导界面中点击“下一步”按钮,在选择证书注册策略窗口中选择“Active Directory 注册策略”项,在下一步窗口中选择“Web服务器 的副本”项,点击其右侧的“详细信息”项,在弹出面板中点击“属性”按钮,打开证书属性窗口,在其中可以配置相关的参数。

例如,在“使用者”面板中的“使用者名称”栏中的“类型”列表中选择“公用名”项,在“值”栏中输入具体的内容,这里为了简单起见,输入“www.xxx.com”之类的域名。点击“添加”按钮,完成添加操作。

在“私钥”面板中打开“密钥选项”项,在其中选择“使私钥可以导出”项,点击“确认”按钮,在证书注册窗口中点击“注册”按钮,完成注册操作。之后在证书列表中选择申请到的证书,在右键菜单上点击“所有任务→导出”项,在向导界面中选择“是,导出私钥”项。点击“下一步”。在安全窗口中选择“密码”,设置所需的密码,在下一步窗口中设置证书的存储路径,点击“完成”,得到所需的证书文件(后缀为“.pfx”)。

将该证书文件复制带另外一台IIS服务器上,打开控制台窗口,添加证书管理单元,完成证书的导入操作,方法是,先选择证书文件,并输入私钥密码,完成导入操作。在两台服务器上准备好证书之后,就可以为IIS绑定证书了。例如,在两台IIS服务器上分别打开IIS管理器,在左侧选择Web站点,在中部点击“SSL设置”项,在右侧点击“绑定”链接,在绑定窗口(如图4)中点击“添加”按钮,在添加网站绑定窗口中在“类型”列表中选择“https”项,在“SSL证书”列表中选择对应的证书,点击“确定”,完成证书的绑定。这样,当客户机和Web服务器通讯时,就会实现加密功能。

但是,上述方法实现起来比较复杂,如果增加IIS服务器的话,就需要重复以上操作。如果证书发生变动的话,所有的相关服务器都需要重新配置,其工作量是比较大的。Windows Server 2012提供的集中式SSL证书管理,可以很好地解决上述问题。例如,在域控制器上创建一个文件夹(例如“zhengshugx”),用来存储证书文件。打开文件共享窗口,在用户列表中选 择“Everyone”,点 击“添加”按钮,将其添加到共享列表中。选择“Everyone”项,为其添加“读取/写入”权限。当然,这里只是用来演示的。在实际的操作环境中,不建议这样做。

图4 为网站绑定证书

图5 添加集中式SSL证书角色

之后将上述导出的证书文件复制到该文件夹中,并将其名称修改为客户端访问的名称,例如“www.xxx.com.pfx”。在两台IIS服务器上分别打开服务器管理器,点击“添加角色和功能”项在,在向导界面(如图5)中依次点击下一步按钮,在角色列表中打开“Web服务器(已安装)”项在,在其下选择“安全性→集中式SSL证书支持”项,在下一步窗口中点击安装按钮,安装所需的功能项目。

当启用了SSL集中式管理后,在每一台IIS服务器上打开IIS管理器,在左侧选择根节点(即服务器名称项),在中部的“管理”栏中双击“集中式证书”项,在集中式证书界面右侧点击“编辑功能设置”链接,在弹出窗口中选择“启用集中式证书”项,在“物理路径”栏中点击浏览按钮,选择上述证书文件夹路径,输入用于连接的用户名和密码信息,在“证书私钥密码”栏中输入证书私钥密码。点击“确定”完成证书的导入操作。

之后,选择对应的网站,按照上述方法打开证书绑定窗口,在“SSL证书”列表中选择对应的证书即可。这样,当添加更多的服务器后,也可以按照上述方法,启用SSL证书管理功能,提高绑定的效率。

猜你喜欢

私钥集中式右键
清扫机器人避障系统区块链私钥分片存储方法
比特币的安全性到底有多高
基于改进ECC 算法的网络信息私钥变换优化方法
轻松整理Win10右键菜单
自定义“开始”右键控制菜单
光伏:分布式新增装机规模首次超越集中式
一种基于虚拟私钥的OpenSSL与CSP交互方案
用右键菜单管理右键菜单
电力公司财务管理现状与财务集中式管理模式的构建
给Windows 10右键菜单做“手术”