引言：證書對(duì)于保護(hù)系統(tǒng)安全是很重要的，利用證書服務(wù)，可以在客戶端和服務(wù)器通訊時(shí)，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，來保證其安全性。在Windows Server 2012中，針對(duì)證書提供了一些新功能，對(duì)于證書服務(wù)來說，使用者頒發(fā)的證書如果需要續(xù)約的話，對(duì)于工作組的計(jì)算機(jī)來說，可以使用相同的密鑰進(jìn)行續(xù)約。本文就以證書申請(qǐng)加密和集中式SSL支持為例，進(jìn)行相關(guān)的介紹。

證書對(duì)于保護(hù)系統(tǒng)安全是很重要的，利用證書服務(wù)，可以在客戶端和服務(wù)器通訊時(shí)，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，來保證其安全性，防止黑客非法攔截和嗅探。在Windows Server 2012中，針對(duì)證書提供了一些新功能。例如，所有的證書角色在任意版本的Windows Server 2012中都能夠支持，包括Windows Server Core模式在內(nèi)。對(duì)于證書服務(wù)來說，使用者頒發(fā)的證書如果需要續(xù)約的話，對(duì)于工作組的計(jì)算機(jī)來說，可以使用相同的密鑰進(jìn)行續(xù)約。這里就以證書申請(qǐng)加密和集中式SSL支持為例，進(jìn)行相關(guān)的介紹。

使用證書申請(qǐng)加密功能

在Windows Server 2008 R2中，已經(jīng)提供了證書申請(qǐng)加密功能，但是默認(rèn)情況下并未啟用。在Windows Server 2012中，已經(jīng)默認(rèn)啟用了該功能。當(dāng)啟用了該功能后，可以看到當(dāng)Windows XP等老系統(tǒng)的主機(jī)在申請(qǐng)證書時(shí)，是無法成功的。例如，在域環(huán)境中，在域控制器上安裝的是Windows Server 2012，首先需要將其配置成證書服務(wù)器。

在服務(wù)器管理器中點(diǎn)擊菜單“管理→加角色和功能”項(xiàng)，在向?qū)Ы缑嬷幸来吸c(diǎn)擊“下一步”，在“角色”列表中選 擇“Active Directory證書服務(wù)”項(xiàng)，以后依次點(diǎn)擊“下一步”按鈕，在“角色服務(wù)”列表中選擇“證書頒發(fā)機(jī)構(gòu)”項(xiàng)，之后執(zhí)行該角色的安裝操作。

當(dāng)安裝完畢后，點(diǎn)擊“配置目標(biāo)服務(wù)器上的Active Directory證書服務(wù)”鏈接，在配置界面（如圖1）中點(diǎn)擊“下一步”，在“選擇要配置的角色服務(wù)”列表中選擇“證書頒發(fā)機(jī)構(gòu)”項(xiàng)，在下一步窗口中選擇“企業(yè)CA”項(xiàng)，在指定CA類型界面中選擇“根CA”項(xiàng)，在下一步窗口中選擇“創(chuàng)建新的私鑰”項(xiàng)，對(duì)于加密選項(xiàng)保持默認(rèn)即可。在“指定CA名稱”界面中可以設(shè)置該CA的公用名稱，可分辨名稱后綴、預(yù)覽可分辨名稱等參數(shù)，之后的設(shè)置均保持默認(rèn)。點(diǎn)擊“配置”按鈕，完成所需的配置操作。當(dāng)安裝好了活動(dòng)目錄的證書角色后，該控制器才可以為客戶端提供證書服務(wù)。

圖1 證書配置向?qū)Ы缑?/p>

點(diǎn)擊“Win+R”鍵，執(zhí)行“mmc”命令，在控制臺(tái)界面中點(diǎn)擊“文件→添加/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”，在證書管理單元窗口中選擇“計(jì)算機(jī)賬戶”項(xiàng)，點(diǎn)擊“確認(rèn)”，在控制臺(tái)左側(cè)選擇“證書→個(gè)人→證書”項(xiàng)，在證書的右鍵菜單中點(diǎn)擊“所有任務(wù)→導(dǎo)出”項(xiàng)，在導(dǎo)出向?qū)Т翱谥悬c(diǎn)擊“下一步”，在“導(dǎo)出私鑰”窗口中選擇“不，不要導(dǎo)出私鑰”項(xiàng)，點(diǎn)擊“下一步”，在“文件名”欄中點(diǎn)擊瀏覽按鈕，設(shè)置導(dǎo)出文件名稱。點(diǎn)擊“完成”按鈕，執(zhí)行證書導(dǎo)出操作。之后將導(dǎo)出的證書文件復(fù)制到客戶端中。

例如，在Windows XP等老系統(tǒng)中按照上述步驟，打開控制臺(tái)，添加證書管理單元，在控制臺(tái)左側(cè)點(diǎn)擊“證書→受信任的根證書頒發(fā)機(jī)構(gòu)→證書”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)→導(dǎo)入”項(xiàng)，在向?qū)е械摹耙獙?dǎo)入的文件”窗口中點(diǎn)擊“瀏覽”，選擇上述證書文件。在“證書存儲(chǔ)”窗口中選擇“將所有證書放入下列存儲(chǔ)區(qū)”項(xiàng)，在下一步窗口中點(diǎn)擊“完成”按鈕，完成證書導(dǎo)入操作。這樣，客戶端就可以信任根證書的頒發(fā)機(jī)構(gòu)。在左側(cè)選擇“證書→個(gè)人→證書”項(xiàng)，在右鍵菜單中點(diǎn)擊“所有任務(wù)→申請(qǐng)新證書”項(xiàng)，在向?qū)е械淖C書類別中選擇“計(jì)算機(jī)”項(xiàng)，在下一窗口中設(shè)置易于記憶的證書名稱和描述信息。

點(diǎn)擊“完成”按鈕，系統(tǒng)彈出“證書申請(qǐng)失敗，此證書頒發(fā)機(jī)構(gòu)的權(quán)限不允許當(dāng)前用戶注冊(cè)證書”的警告信息。這是因?yàn)樵谀J(rèn)情況下，Windows Server 2012的證書頒發(fā)機(jī)構(gòu)要求客戶端提供的證書申請(qǐng)是加密的，但是Windows XP等老系統(tǒng)在申請(qǐng)證書時(shí)并未加密，才導(dǎo)致出現(xiàn)上述問題。為了解決該問題，可以在Windows Server 2012中打開CMD窗口，執(zhí)行“certutil -setreg CAInterfaceFlags -IF_ENFORCEENCRYPTI CERTREQUEST”命令，將安全界別進(jìn)行更改，之后執(zhí)行“net stop certsvc”和“net start certsvc”命令，重啟證書服務(wù)。之后在Windows XP中就可以按照上述方法，順利申請(qǐng)證書了。

使用集中式SSL支持功能

在Windows Server 2012中的IIS 8.0組件中，提供了集中式SSL支持功能，可以更好地綁定證書。例如，在域環(huán)境中，存在兩臺(tái)IIS服務(wù)器，用來實(shí)現(xiàn)Web負(fù)載均衡。首先在域控制器上執(zhí)行初始化的配置，在DNS管理器中左側(cè)點(diǎn)擊“DNS→DC→正向查找區(qū)域→具體的域名”項(xiàng)，在其中可以查看兩臺(tái)IIS服務(wù)器的記錄信息。例如，可以將其配置為IIS允許的負(fù)載均衡，在右鍵菜單中點(diǎn)擊“新建主機(jī)（A或AAAA）”項(xiàng)，在新建主機(jī)窗口中輸入其名稱，IP地址等信息，點(diǎn)擊“添加主機(jī)”按鈕，完成添加操作。同理，為兩臺(tái)IIS主機(jī)分別添加主機(jī)記錄。

在應(yīng)用界面中點(diǎn)擊“證書頒發(fā)機(jī)構(gòu)”程序項(xiàng)，在彈出窗口左側(cè)選擇“證書頒發(fā)機(jī)構(gòu)→XXX-DC-CA-1→證書模板”項(xiàng)，其中的“XXX”表示具體的域名。在右側(cè)窗口的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在證書模板窗口（如圖3）中顯示所有的證書項(xiàng)目，選擇“Web服務(wù)器”項(xiàng)，在其右鍵菜單上點(diǎn)擊“復(fù)制模板”項(xiàng)，在其屬性窗口中的“兼容性”面板中的“證書頒發(fā)機(jī)構(gòu)”列表中選擇“Windows Server2012”項(xiàng)，在“證書接收人”列表中選擇“Windows 8/Windows Server 2012”項(xiàng)，在“請(qǐng)求處理”面板中選擇“允許導(dǎo)出私鑰”項(xiàng)，在“使用者名稱”面板中選擇“在請(qǐng)求中提供”項(xiàng)，在“安全”面板中選擇“Authenticated Users”項(xiàng)，在為其選擇允許注冊(cè)權(quán)限。點(diǎn)擊“應(yīng)用”按鈕，激活配置信息。

圖3 證書模板管理窗口

在證書頒發(fā)機(jī)構(gòu)窗口右側(cè)的右鍵菜單中選擇“新建→要頒發(fā)的證書模板”項(xiàng)，在啟用證書模板窗口中選擇“Web服務(wù)器的副本”項(xiàng)，即上述新建的證書模板。完成準(zhǔn)備工作后，就可以為IIS服務(wù)器頒發(fā)證書了。按照常規(guī)的方法，需要在IIS服務(wù)器中打開控制臺(tái)界面，在其中添加證書管理單元，在左側(cè)選擇“證書→個(gè)人→證書”項(xiàng)，在右側(cè)窗口的右鍵菜單中點(diǎn)擊“所有任務(wù)→申請(qǐng)新證書”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”，在選擇證書注冊(cè)策略窗口中選擇“Active Directory注冊(cè)策略”項(xiàng)，在“下一步”窗口中選擇“Web服務(wù)器的副本”項(xiàng)，點(diǎn)擊其右側(cè)的“詳細(xì)信息”項(xiàng)，在彈出面板中點(diǎn)擊“屬性”按鈕，打開證書屬性窗口，在其中可以配置相關(guān)的參數(shù)。

例如，在“使用者”面板中的“使用者名稱”欄中的“類型”列表中選擇“公用名”項(xiàng)，在“值”欄中輸入具體的內(nèi)容，這里為了簡單起見，輸入“www.xxx.com”之類的域名。點(diǎn)擊“添加”按鈕，完成添加操作。在“私鑰”面板中打開“密鑰選項(xiàng)”項(xiàng)，在其中選擇“使私鑰可以導(dǎo)出”項(xiàng)，點(diǎn)擊“確認(rèn)”，在證書注冊(cè)窗口中點(diǎn)擊“注冊(cè)”，完成注冊(cè)操作。之后在證書列表中選擇申請(qǐng)到的證書，在其右鍵菜單上點(diǎn)擊“所有任務(wù)→導(dǎo)出”項(xiàng)，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項(xiàng)，點(diǎn)擊“下一步”，在安全窗口中選擇“密碼”項(xiàng)，設(shè)置所需的密碼，在下一步窗口中設(shè)置證書的存儲(chǔ)路徑，點(diǎn)擊“完成”按鈕，得到所需的證書文件（后綴為“.pfx”）。

將該證書文件復(fù)制帶另外一臺(tái)IIS服務(wù)器上，打開控制臺(tái)窗口，添加證書管理單元，完成證書的導(dǎo)入操作，方法是，先選擇證書文件，并輸入私鑰密碼，完成導(dǎo)入操作。在兩臺(tái)服務(wù)器上準(zhǔn)備好證書之后，就可以為IIS綁定證書了。例如，在兩臺(tái)IIS服務(wù)器上分別打開IIS管理器，在左側(cè)選擇Web站點(diǎn)，在中部點(diǎn)擊“SSL設(shè)置”項(xiàng)，在右側(cè)點(diǎn)擊“綁定”鏈接，在綁定窗口中點(diǎn)擊“添加”按鈕，在添加網(wǎng)站綁定窗口中在“類型”列表中選擇“https”項(xiàng)，在“SSL證書”列表中選擇對(duì)應(yīng)的證書，點(diǎn)擊“確定”按鈕，完成證書的綁定操作。這樣，當(dāng)客戶機(jī)和Web服務(wù)器通訊時(shí)，就會(huì)實(shí)現(xiàn)加密功能。

圖6添加集中式SSL證書角色

但是，上述方法實(shí)現(xiàn)起來比較復(fù)雜，如果增加IIS服務(wù)器的話，就需要重復(fù)以上操作。如果證書發(fā)生變動(dòng)的話，所有的相關(guān)服務(wù)器都需要重新配置，其工作量是比較大的。Windows Server 2012提供的集中式SSL證書管理，可以很好地解決上述問題。例如，在域控制器上創(chuàng)建一個(gè)文件夾（例如“zhengshugx”），用來存儲(chǔ)證書文件。打開其文件共享窗口，在用戶列表中選擇“Everyone”，點(diǎn)擊“添加”按鈕，將其添加到共享列表中。選擇“Everyone”項(xiàng)，為其添加“讀取/寫入”權(quán)限，當(dāng)然，這里只是用來演示的。在實(shí)際的操作環(huán)境中，不建議這樣做。之后將上述導(dǎo)出的證書文件復(fù)制到該文件夾中，并將其名稱修改為客戶端訪問的名稱，例如“www.xxx.com.pfx”。在兩臺(tái)IIS服務(wù)器上分別打開服務(wù)器管理器，點(diǎn)擊“添加角色和功能”項(xiàng)在，在向?qū)Ы缑妫ㄈ鐖D6）中依次點(diǎn)擊“下一步”按鈕，在角色列表中打開“Web服務(wù)器（已安裝）”項(xiàng)在，在其下選擇“安全性→集中式SSL證書支持”項(xiàng)，在“下一步”窗口中點(diǎn)擊安裝按鈕，安裝所需的功能項(xiàng)目。

當(dāng)啟用了SSL集中式管理工后，在每一臺(tái)IIS服務(wù)器上打開IIS管理器，在左側(cè)選擇根節(jié)點(diǎn)（即服務(wù)器名稱項(xiàng)），在中部的“管理”欄中雙擊“集中式證書”項(xiàng)，在集中式證書界面右側(cè)點(diǎn)擊“編輯功能設(shè)置”鏈接，在彈出窗口中選擇“啟用集中式證書”項(xiàng)，在“物理路徑”欄中點(diǎn)擊瀏覽按鈕，選擇上述證書文件夾路徑，輸入用于連接的用戶名和密碼信息，在“證書私鑰密碼”欄中輸入證書私鑰密碼。點(diǎn)擊“確定”，完成證書的導(dǎo)入操作。之后選擇對(duì)應(yīng)的網(wǎng)站，按照上述方法打開證書綁定窗口，在“SSL證書”列表中選擇對(duì)應(yīng)的證書即可。這樣，當(dāng)添加更多的服務(wù)器后，也可以按照上述方法，啟用SSL證書管理功能，提高綁定的效率。