通过这段简单介绍,大家可以了解到,证书的作用是对双方确认信任关系。证书有三大因素,)
与证书匹配的域名(比如我们申请的证书是为使用的,但是实际使用的域名是bbs.51cto.com,这样就出现证书不匹配的问题,也就是这个过程不可信。)
=======我是分割线====================
搭建证书服务器是很简单的,下面大家来一起学习一下,首先看一下我们所需要的工作环境:
操作系统
安装应用
功能
WindowsServer2012
DC+DHCP+DNS
域控制器+DHCP+DNS域名解析
WindowsServer2012
MSSQL2012SP1
SystemCenter数据库环境
这次将证书服务器搭建在DC这台机器上,证书服务器相对于服务器来说,它仅仅是一个服务。在以后,除非特别特别指出,那么我们的基础环境都是WindowsServer2012和SystemCenter2012SP1。
前面的安装类型、服务器选择略过,通过第一集的部署域控,相信大家对WindowsServer2012的安装过程已经有了一定了解。这次首先选择角色,勾选AD证书服务,然后点击继续。
这里看一下注意事项,部署证书的CA后,将无法修改计算机名。
这个服务包含6个角色,为了演示整个过程,我全部勾选了,其实如果仅仅是使用,那么前三项已经足够了。甚至不考虑扩展性,前两项也已足够。
自动重启选项是必须要勾选的。在WindowsServer2012中,部分操作如果不勾选这个选项,是无法进行下一步的。具体是哪些,大家可以自行测试。
角色安装完成后,我们开始配置证书服务,如果你不是为本机安装,那么需要输入域管理员账号,作为远程访问的凭据。
比较有意思的是,尽管我们安装了6个角色,香港空间,但这6个角色是无法同时配置的。首先选择前面的三个配置。(一般来说大家有这3个也足够了。)
首先指定CA设置类型,这个毫无疑义,在域环境下,我们需要选择企业CA。
接下来指定CA类型,既然是第一台CA,那么只能选根CA,如果你的域环境下需要部署多台CA,才会有必要选择下面的选项。根CA是什么概念呢?就是我们常说的顶级证书颁发机构。从属CA一般都是第二级甚至第三级的颁发机构。但是不管怎么说,根CA只有一个。
既然是第一台,选择创建新的私钥。
加密选项使用默认,除非需要使用证书的服务器或工作站有特殊要求,一般不做变更。
指定CA名称,这个而已可以随意,起一个好记并且醒目的即可。
指定证书的有效期,一般来说1到2年即可,100年只是一个玩笑。WindowsServer的生日到现在都没有这么大。需要说明的是,证书到期需要续期。
证书的保存位置,我们可以根据这个位置制定相应的备份策略,以保障证书数据的安全。这个以后会讲到,它可以用到SystemCenter2012SP1中的一个备份工具,叫做DPM。
部署完成,会有一张清单,可以在这里统一的检查一下,如果有问题可以随时退回。
很快这3个角色就安装好了。
当然,还有剩下的3个,这三个都是刚才无法一次性选择的。
要想捉大鱼,不能怕水深。要想摘玫瑰,就得不怕刺。
