Windows Server 2012證書新功能

證書對于保護系統(tǒng)安全是很重要的，利用證書服務，可以在客戶端和服務器通訊時，對傳輸?shù)臄?shù)據(jù)進行加密，來保證其安全性，防止黑客非法攔截和嗅探。在Windows Server 2012中，針對證書提供了一些新功能。例如，所有的證書角色在任意版本的Windows Server 2012中都能夠支持，包括Windows Server Core模式在內(nèi)。對于證書服務來說，使用者頒發(fā)的證書如果需要續(xù)約的話，對于工作組的計算機來說，可以使用相同的密鑰進行續(xù)約。這里就以證書申請加密和集中式SSL支持為例，進行相關的介紹。

使用證書申請加密功能

在Windows Server 2008 R2中已經(jīng)提供了證書申請加密功能，但是默認情況下并未啟用。在Windows Server 2012中，已經(jīng)默認啟用了該功能。當啟用了該功能后，可以看到當Windows XP等老系統(tǒng)的主機在申請證書時，是無法成功的。例如，在域環(huán)境中，在域控制器上安裝的是Windows Server 2012，首先需要將其配置成證書服務器。在服務器管理器中點擊菜單“管理→添加角色和功能”項，在向導界面中依次點擊“下一步”按鈕，在“角色”列表中選擇“Active Directory證書服務”項，以后依次點擊“下一步”按鈕，在“角色服務”列表中選擇“證書頒發(fā)機構”項，之后執(zhí)行該角色的安裝操作。

當安裝完畢后，點擊“配置目標服務器上的Active Directory證書服務”鏈接，在配置界面（如圖1）中點擊“下一步”按鈕，在“選擇要配置的角色服務”列表中選擇“證書頒發(fā)機構”項，在“下一步”窗口中選擇“企業(yè)CA”項，在指定CA類型界面中選擇“根CA”項。在下一步窗口中選擇“創(chuàng)建新的私鑰”項，對于加密選項保持默認即可。在“指定CA名稱”界面中可以設置該CA的公用名稱，可分辨名稱后綴、預覽可分辨名稱等參數(shù)。之后的設置均保持默認。點擊“配置”按鈕，完成所需的配置操作。

當安裝好了活動目錄的證書角色后，該控制器才可以為客戶端提供證書服務。

點擊“Win+R”鍵，執(zhí)行“mmc”命令，在控制臺界面中點擊菜單“文件→添加/刪除管理單元”項，在彈出窗口左側列表中選擇“證書”項，點擊“添加”按鈕，在證書管理單元窗口中選擇“計算機賬戶”項，點擊“確認”按鈕。

在控制臺左側選擇“證書→個人→證書”項，在證書的右鍵菜單中點擊“所有任務→導出”項，在導出向導窗口（如圖2）中點擊“下一步”按鈕，在“導出私鑰”窗口中選擇“不，不要導出私鑰”項，點擊“下一步”按鈕。在“文件名”欄中點擊“瀏覽”按鈕，設置導出文件名稱。點擊“完成”按鈕，執(zhí)行證書導出操作。之后將導出的證書文件復制到客戶端中。

圖1 證書配置向導界面

圖2 證書導出界面

例如，在Windows XP等老系統(tǒng)中按照上述步驟，打開控制臺，添加證書管理單元，在控制臺左側點擊“證書→受信任的根證書頒發(fā)機構→證書”項，在右鍵菜單上點擊“所有任務→導入”項，在向導中的“要導入的文件”窗口中點擊“瀏覽”按鈕，選擇上述證書文件。在“證書存儲”窗口中選擇“將所有證書放入下列存儲區(qū)”項，在下一步窗口中點擊“完成”按鈕，完成證書導入操作。這樣，客戶端就可以信任根證書的頒發(fā)機構。

在左側選擇“證書→個人→證書”項，在右鍵菜單中點擊“所有任務→申請新證書”項，在向導中的證書類別中選擇“計算機”項，在下一窗口中設置易于記憶的證書名稱和描述信息。

點擊“完成”，系統(tǒng)彈出“證書申請失敗，此證書頒發(fā)機構的權限不允許當前用戶注冊證書”的警告信息。這是因為在默認情況下，Windows Server 2012的證書頒發(fā)機構要求客戶端提供的證書申請是加密的，但是Windows XP等老系統(tǒng)在申請證書時并未加密，才導致出現(xiàn)上述問題。為了解決該問題，可以在Windows Server 2012中打開cmd窗口，執(zhí)行“certutil –setreg CAInterfaceFlags –IF_ENFORCEENCRYPTICERTREQUEST”命令，將安全界別進行更改，之 后 執(zhí) 行“net stop certsvc” 和“net start certsvc”命令，重啟證書服務。之后在Windows XP中就可以按照上述方法，順利申請證書了。

使用集中式SSL支持功能

在Windows Server 2012中的IIS 8.0組件中，提供了集中式SSL支持功能，可以更好地綁定證書。例如，在域環(huán)境中，存在兩臺IIS服務器，用來實現(xiàn)Web負載均衡。首先在域控制器上執(zhí)行初始化的配置，在DNS管理器中左側點擊“DNS→DC→正向查找區(qū)域→具體的域名”項，在其中可以查看兩臺IIS服務器的記錄信息。例如，可以將其配置為IIS允許的負載均衡，在右鍵菜單中點擊“新建主機（A或 AAAA）”項，在新建主機窗口中輸入其名稱、IP地址等信息，點擊“添加主機”按鈕，完成添加操作。同理，為兩臺IIS主機分別添加主機記錄。

在應用界面中點擊“證書頒發(fā)機構”程序項，在彈出窗口左側選擇“證書頒發(fā)機構→XXX-DC-CA-1→證書模板”項，其中的“XXX”表示具體的域名。在右側窗口的右鍵菜單上點擊“管理”項，在證書模板窗口（如圖3）中顯示所有的證書項目，選擇“Web 服務器”項，在右鍵菜單上點擊“復制模板”項，在屬性窗口“兼容性”面板中的“證書頒發(fā)機構”列表中選擇“Windows Server2012”項，在“證書接收人”列表中選 擇“Windows 8/Windows Server 2012”項，在“請求處理”面板中選擇“允許導出私鑰”項，在“使用者名稱”面板中選擇“在請求中提供”項，在“安全”面板中選擇“Authenticated Users”項，并選擇允許注冊權限。點擊“應用”按鈕，激活配置信息。

圖3 證書模板管理窗口

在證書頒發(fā)機構窗口右側的右鍵菜單中選擇“新建→要頒發(fā)的證書模板”項，在啟用證書模板窗口中選擇“Web服務器的副本”項，即上述新建的證書模板。完成準備工作后，就可以為IIS服務器頒發(fā)證書了。

按照常規(guī)的方法，需要在IIS服務器中打開控制臺界面，添加證書管理單元，在左側選擇“證書→個人→證書”項，在右側窗口的右鍵菜單中點擊“所有任務→申請新證書”項，在向導界面中點擊“下一步”按鈕，在選擇證書注冊策略窗口中選擇“Active Directory 注冊策略”項，在下一步窗口中選擇“Web服務器 的副本”項，點擊其右側的“詳細信息”項，在彈出面板中點擊“屬性”按鈕，打開證書屬性窗口，在其中可以配置相關的參數(shù)。

例如，在“使用者”面板中的“使用者名稱”欄中的“類型”列表中選擇“公用名”項，在“值”欄中輸入具體的內(nèi)容，這里為了簡單起見，輸入“www.xxx.com”之類的域名。點擊“添加”按鈕，完成添加操作。

在“私鑰”面板中打開“密鑰選項”項，在其中選擇“使私鑰可以導出”項，點擊“確認”按鈕，在證書注冊窗口中點擊“注冊”按鈕，完成注冊操作。之后在證書列表中選擇申請到的證書，在右鍵菜單上點擊“所有任務→導出”項，在向導界面中選擇“是，導出私鑰”項。點擊“下一步”。在安全窗口中選擇“密碼”，設置所需的密碼，在下一步窗口中設置證書的存儲路徑，點擊“完成”，得到所需的證書文件（后綴為“.pfx”）。

將該證書文件復制帶另外一臺IIS服務器上，打開控制臺窗口，添加證書管理單元，完成證書的導入操作，方法是，先選擇證書文件，并輸入私鑰密碼，完成導入操作。在兩臺服務器上準備好證書之后，就可以為IIS綁定證書了。例如，在兩臺IIS服務器上分別打開IIS管理器，在左側選擇Web站點，在中部點擊“SSL設置”項，在右側點擊“綁定”鏈接，在綁定窗口（如圖4）中點擊“添加”按鈕，在添加網(wǎng)站綁定窗口中在“類型”列表中選擇“https”項，在“SSL證書”列表中選擇對應的證書，點擊“確定”，完成證書的綁定。這樣，當客戶機和Web服務器通訊時，就會實現(xiàn)加密功能。

但是，上述方法實現(xiàn)起來比較復雜，如果增加IIS服務器的話，就需要重復以上操作。如果證書發(fā)生變動的話，所有的相關服務器都需要重新配置，其工作量是比較大的。Windows Server 2012提供的集中式SSL證書管理，可以很好地解決上述問題。例如，在域控制器上創(chuàng)建一個文件夾（例如“zhengshugx”），用來存儲證書文件。打開文件共享窗口，在用戶列表中選 擇“Everyone”，點 擊“添加”按鈕，將其添加到共享列表中。選擇“Everyone”項，為其添加“讀取/寫入”權限。當然，這里只是用來演示的。在實際的操作環(huán)境中，不建議這樣做。

圖4 為網(wǎng)站綁定證書

圖5 添加集中式SSL證書角色

之后將上述導出的證書文件復制到該文件夾中，并將其名稱修改為客戶端訪問的名稱，例如“www.xxx.com.pfx”。在兩臺IIS服務器上分別打開服務器管理器，點擊“添加角色和功能”項在，在向導界面（如圖5）中依次點擊下一步按鈕，在角色列表中打開“Web服務器（已安裝）”項在，在其下選擇“安全性→集中式SSL證書支持”項，在下一步窗口中點擊安裝按鈕，安裝所需的功能項目。

當啟用了SSL集中式管理后，在每一臺IIS服務器上打開IIS管理器，在左側選擇根節(jié)點（即服務器名稱項），在中部的“管理”欄中雙擊“集中式證書”項，在集中式證書界面右側點擊“編輯功能設置”鏈接，在彈出窗口中選擇“啟用集中式證書”項，在“物理路徑”欄中點擊瀏覽按鈕，選擇上述證書文件夾路徑，輸入用于連接的用戶名和密碼信息，在“證書私鑰密碼”欄中輸入證書私鑰密碼。點擊“確定”完成證書的導入操作。

之后，選擇對應的網(wǎng)站，按照上述方法打開證書綁定窗口，在“SSL證書”列表中選擇對應的證書即可。這樣，當添加更多的服務器后，也可以按照上述方法，啟用SSL證書管理功能，提高綁定的效率。