解析證書新功能

引言：證書對于保護系統安全是很重要的，利用證書服務，可以在客戶端和服務器通訊時，對傳輸的數據進行加密，來保證其安全性。在Windows Server 2012中，針對證書提供了一些新功能，對于證書服務來說，使用者頒發的證書如果需要續約的話，對于工作組的計算機來說，可以使用相同的密鑰進行續約。本文就以證書申請加密和集中式SSL支持為例，進行相關的介紹。

證書對于保護系統安全是很重要的，利用證書服務，可以在客戶端和服務器通訊時，對傳輸的數據進行加密，來保證其安全性，防止黑客非法攔截和嗅探。在Windows Server 2012中，針對證書提供了一些新功能。例如，所有的證書角色在任意版本的Windows Server 2012中都能夠支持，包括Windows Server Core模式在內。對于證書服務來說，使用者頒發的證書如果需要續約的話，對于工作組的計算機來說，可以使用相同的密鑰進行續約。這里就以證書申請加密和集中式SSL支持為例，進行相關的介紹。

使用證書申請加密功能

在Windows Server 2008 R2中，已經提供了證書申請加密功能，但是默認情況下并未啟用。在Windows Server 2012中，已經默認啟用了該功能。當啟用了該功能后，可以看到當Windows XP等老系統的主機在申請證書時，是無法成功的。例如，在域環境中，在域控制器上安裝的是Windows Server 2012，首先需要將其配置成證書服務器。

在服務器管理器中點擊菜單“管理→加角色和功能”項，在向導界面中依次點擊“下一步”，在“角色”列表中選 擇“Active Directory證書服務”項，以后依次點擊“下一步”按鈕，在“角色服務”列表中選擇“證書頒發機構”項，之后執行該角色的安裝操作。

當安裝完畢后，點擊“配置目標服務器上的Active Directory證書服務”鏈接，在配置界面（如圖1）中點擊“下一步”，在“選擇要配置的角色服務”列表中選擇“證書頒發機構”項，在下一步窗口中選擇“企業CA”項，在指定CA類型界面中選擇“根CA”項，在下一步窗口中選擇“創建新的私鑰”項，對于加密選項保持默認即可。在“指定CA名稱”界面中可以設置該CA的公用名稱，可分辨名稱后綴、預覽可分辨名稱等參數，之后的設置均保持默認。點擊“配置”按鈕，完成所需的配置操作。當安裝好了活動目錄的證書角色后，該控制器才可以為客戶端提供證書服務。

圖1 證書配置向導界面

點擊“Win+R”鍵，執行“mmc”命令，在控制臺界面中點擊“文件→添加/刪除管理單元”項，在彈出窗口左側列表中選擇“證書”項，點擊“添加”，在證書管理單元窗口中選擇“計算機賬戶”項，點擊“確認”，在控制臺左側選擇“證書→個人→證書”項，在證書的右鍵菜單中點擊“所有任務→導出”項，在導出向導窗口中點擊“下一步”，在“導出私鑰”窗口中選擇“不，不要導出私鑰”項，點擊“下一步”，在“文件名”欄中點擊瀏覽按鈕，設置導出文件名稱。點擊“完成”按鈕，執行證書導出操作。之后將導出的證書文件復制到客戶端中。

例如，在Windows XP等老系統中按照上述步驟，打開控制臺，添加證書管理單元，在控制臺左側點擊“證書→受信任的根證書頒發機構→證書”項，在其右鍵菜單上點擊“所有任務→導入”項，在向導中的“要導入的文件”窗口中點擊“瀏覽”，選擇上述證書文件。在“證書存儲”窗口中選擇“將所有證書放入下列存儲區”項，在下一步窗口中點擊“完成”按鈕，完成證書導入操作。這樣，客戶端就可以信任根證書的頒發機構。在左側選擇“證書→個人→證書”項，在右鍵菜單中點擊“所有任務→申請新證書”項，在向導中的證書類別中選擇“計算機”項，在下一窗口中設置易于記憶的證書名稱和描述信息。

點擊“完成”按鈕，系統彈出“證書申請失敗，此證書頒發機構的權限不允許當前用戶注冊證書”的警告信息。這是因為在默認情況下，Windows Server 2012的證書頒發機構要求客戶端提供的證書申請是加密的，但是Windows XP等老系統在申請證書時并未加密，才導致出現上述問題。為了解決該問題，可以在Windows Server 2012中打開CMD窗口，執行“certutil -setreg CAInterfaceFlags -IF_ENFORCEENCRYPTI CERTREQUEST”命令，將安全界別進行更改，之后執行“net stop certsvc”和“net start certsvc”命令，重啟證書服務。之后在Windows XP中就可以按照上述方法，順利申請證書了。

使用集中式SSL支持功能

在Windows Server 2012中的IIS 8.0組件中，提供了集中式SSL支持功能，可以更好地綁定證書。例如，在域環境中，存在兩臺IIS服務器，用來實現Web負載均衡。首先在域控制器上執行初始化的配置，在DNS管理器中左側點擊“DNS→DC→正向查找區域→具體的域名”項，在其中可以查看兩臺IIS服務器的記錄信息。例如，可以將其配置為IIS允許的負載均衡，在右鍵菜單中點擊“新建主機（A或AAAA）”項，在新建主機窗口中輸入其名稱，IP地址等信息，點擊“添加主機”按鈕，完成添加操作。同理，為兩臺IIS主機分別添加主機記錄。

在應用界面中點擊“證書頒發機構”程序項，在彈出窗口左側選擇“證書頒發機構→XXX-DC-CA-1→證書模板”項，其中的“XXX”表示具體的域名。在右側窗口的右鍵菜單上點擊“管理”項，在證書模板窗口（如圖3）中顯示所有的證書項目，選擇“Web服務器”項，在其右鍵菜單上點擊“復制模板”項，在其屬性窗口中的“兼容性”面板中的“證書頒發機構”列表中選擇“Windows Server2012”項，在“證書接收人”列表中選擇“Windows 8/Windows Server 2012”項，在“請求處理”面板中選擇“允許導出私鑰”項，在“使用者名稱”面板中選擇“在請求中提供”項，在“安全”面板中選擇“Authenticated Users”項，在為其選擇允許注冊權限。點擊“應用”按鈕，激活配置信息。

圖3 證書模板管理窗口

在證書頒發機構窗口右側的右鍵菜單中選擇“新建→要頒發的證書模板”項，在啟用證書模板窗口中選擇“Web服務器的副本”項，即上述新建的證書模板。完成準備工作后，就可以為IIS服務器頒發證書了。按照常規的方法，需要在IIS服務器中打開控制臺界面，在其中添加證書管理單元，在左側選擇“證書→個人→證書”項，在右側窗口的右鍵菜單中點擊“所有任務→申請新證書”項，在向導界面中點擊“下一步”，在選擇證書注冊策略窗口中選擇“Active Directory注冊策略”項，在“下一步”窗口中選擇“Web服務器的副本”項，點擊其右側的“詳細信息”項，在彈出面板中點擊“屬性”按鈕，打開證書屬性窗口，在其中可以配置相關的參數。

例如，在“使用者”面板中的“使用者名稱”欄中的“類型”列表中選擇“公用名”項，在“值”欄中輸入具體的內容，這里為了簡單起見，輸入“www.xxx.com”之類的域名。點擊“添加”按鈕，完成添加操作。在“私鑰”面板中打開“密鑰選項”項，在其中選擇“使私鑰可以導出”項，點擊“確認”，在證書注冊窗口中點擊“注冊”，完成注冊操作。之后在證書列表中選擇申請到的證書，在其右鍵菜單上點擊“所有任務→導出”項，在向導界面中選擇“是，導出私鑰”項，點擊“下一步”，在安全窗口中選擇“密碼”項，設置所需的密碼，在下一步窗口中設置證書的存儲路徑，點擊“完成”按鈕，得到所需的證書文件（后綴為“.pfx”）。

將該證書文件復制帶另外一臺IIS服務器上，打開控制臺窗口，添加證書管理單元，完成證書的導入操作，方法是，先選擇證書文件，并輸入私鑰密碼，完成導入操作。在兩臺服務器上準備好證書之后，就可以為IIS綁定證書了。例如，在兩臺IIS服務器上分別打開IIS管理器，在左側選擇Web站點，在中部點擊“SSL設置”項，在右側點擊“綁定”鏈接，在綁定窗口中點擊“添加”按鈕，在添加網站綁定窗口中在“類型”列表中選擇“https”項，在“SSL證書”列表中選擇對應的證書，點擊“確定”按鈕，完成證書的綁定操作。這樣，當客戶機和Web服務器通訊時，就會實現加密功能。

圖6添加集中式SSL證書角色

但是，上述方法實現起來比較復雜，如果增加IIS服務器的話，就需要重復以上操作。如果證書發生變動的話，所有的相關服務器都需要重新配置，其工作量是比較大的。Windows Server 2012提供的集中式SSL證書管理，可以很好地解決上述問題。例如，在域控制器上創建一個文件夾（例如“zhengshugx”），用來存儲證書文件。打開其文件共享窗口，在用戶列表中選擇“Everyone”，點擊“添加”按鈕，將其添加到共享列表中。選擇“Everyone”項，為其添加“讀取/寫入”權限，當然，這里只是用來演示的。在實際的操作環境中，不建議這樣做。之后將上述導出的證書文件復制到該文件夾中，并將其名稱修改為客戶端訪問的名稱，例如“www.xxx.com.pfx”。在兩臺IIS服務器上分別打開服務器管理器，點擊“添加角色和功能”項在，在向導界面（如圖6）中依次點擊“下一步”按鈕，在角色列表中打開“Web服務器（已安裝）”項在，在其下選擇“安全性→集中式SSL證書支持”項，在“下一步”窗口中點擊安裝按鈕，安裝所需的功能項目。

當啟用了SSL集中式管理工后，在每一臺IIS服務器上打開IIS管理器，在左側選擇根節點（即服務器名稱項），在中部的“管理”欄中雙擊“集中式證書”項，在集中式證書界面右側點擊“編輯功能設置”鏈接，在彈出窗口中選擇“啟用集中式證書”項，在“物理路徑”欄中點擊瀏覽按鈕，選擇上述證書文件夾路徑，輸入用于連接的用戶名和密碼信息，在“證書私鑰密碼”欄中輸入證書私鑰密碼。點擊“確定”，完成證書的導入操作。之后選擇對應的網站，按照上述方法打開證書綁定窗口，在“SSL證書”列表中選擇對應的證書即可。這樣，當添加更多的服務器后，也可以按照上述方法，啟用SSL證書管理功能，提高綁定的效率。