SystemCenterSP1实践2部署证书服务器.docx
- 文档编号:5284262
- 上传时间:2022-12-14
- 格式:DOCX
- 页数:18
- 大小:2.10MB
SystemCenterSP1实践2部署证书服务器.docx
《SystemCenterSP1实践2部署证书服务器.docx》由会员分享,可在线阅读,更多相关《SystemCenterSP1实践2部署证书服务器.docx(18页珍藏版)》请在冰豆网上搜索。
SystemCenterSP1实践2部署证书服务器
SystemCenter2012SP1实践
(2)部署证书服务器
2013-04-0823:
40:
14
标签:
服务器证书SystemCenter2012sp1
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。
否则将追究法律责任。
第一个章节我们介绍了如何在WindowsServer2012下部署域环节,没有域环境,就如无源之水,无本之木一样,SystemCenter2012SP1失去了生存的土壤。
本章介绍的内容是如何部署内部的证书服务器,我们的目的是让SystemCenter2012SP1运行的更好,更容易被用户接受,同时还要保障用户交互过程中的数据安全。
。
=======我是分割线====================
证书服务器有什么作用?
我们为什么要部署呢?
在SystemCenter2012SP1的整体部署中,证书服务器起到强化安全链接和减少错误报告的作用,主要作用就是这两个,看起来实在是不太给力。
但是为什么说它是必须的呢?
因为像下面这两种大红图,九叔很难跟老板和用户交代。
证书服务器的存在,就是消除在使用SystemCenter2012SP1时出现的这种大红图。
=======我是分割线====================
证书是什么:
证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。
经过身份验证的SSL证书包含企业身份信息,网民可以查看该证书判断网站身份。
如果你的客户来自国外,如果由于客户不信任你的SSL证书,造成对网站的不信任,最终白白流失交易量就得不偿失了。
所以最好选择大品牌的、知名度较高的SSL证书产品,如VeriSign。
SSL证书签发一般由当地服务机构负责签发证书,在中国境内, VeriSign证书超过95%的证书由天威诚信代为签发。
据统计全球,仅VeriSign SSL证书签发量就超过400万张。
通过这段简单介绍,大家可以了解到,证书的作用是对双方确认信任关系。
证书有三大因素,满足三大因素,证书才不会是"大红图"
1.正确的时间段(保证要在正确的时间范围内去访问,超过时间范围或未到,那么会出红)
2.可信任的颁发机构(如默认列表中有一些顶级的颁发机构,VeriSign就是很著名的一种。
对于域内的用户来说,我们自己搭建证书服务器所颁发的证书,也算是可信的一种。
但是如果搭建的SystemCenter2012平台是为公网用户使用的,那么我们就必须要找VeriSign这种顶级机构颁发了)
3.与证书匹配的域名(比如我们申请的证书是为使用的,但是实际使用的域名是,这样就出现证书不匹配的问题,也就是这个过程不可信。
)
=======我是分割线====================
搭建证书服务器是很简单的,下面大家来一起学习一下,首先看一下我们所需要的工作环境:
操作系统
安装应用
功能
WindowsServer2012
DC+DHCP+DNS
域控制器+DHCP+DNS域名解析
WindowsServer2012
MSSQL2012SP1
SystemCenter数据库环境
这次将证书服务器搭建在DC这台机器上,证书服务器相对于服务器来说,它仅仅是一个服务。
在以后,除非特别特别指出,那么我们的基础环境都是WindowsServer2012和SystemCenter2012SP1。
前面的安装类型、服务器选择略过,通过第一集的部署域控,相信大家对WindowsServer2012的安装过程已经有了一定了解。
这次首先选择角色,勾选AD证书服务,然后点击继续。
这里看一下注意事项,部署证书的CA后,将无法修改计算机名。
这个服务包含6个角色,为了演示整个过程,我全部勾选了,其实如果仅仅是使用,那么前三项已经足够了。
甚至不考虑扩展性,前两项也已足够。
自动重启选项是必须要勾选的。
在WindowsServer2012中,部分操作如果不勾选这个选项,是无法进行下一步的。
具体是哪些,大家可以自行测试。
角色安装完成后,我们开始配置证书服务,如果你不是为本机安装,那么需要输入域管理员账号,作为远程访问的凭据。
比较有意思的是,尽管我们安装了6个角色,但这6个角色是无法同时配置的。
首先选择前面的三个配置。
(一般来说大家有这3个也足够了。
)
首先指定CA设置类型,这个毫无疑义,在域环境下,我们需要选择企业CA。
接下来指定CA类型,既然是第一台CA,那么只能选根CA,如果你的域环境下需要部署多台CA,才会有必要选择下面的选项。
根CA是什么概念呢?
就是我们常说的顶级证书颁发机构。
从属CA一般都是第二级甚至第三级的颁发机构。
但是不管怎么说,根CA只有一个。
既然是第一台,选择创建新的私钥。
加密选项使用默认,除非需要使用证书的服务器或工作站有特殊要求,一般不做变更。
指定CA名称,这个而已可以随意,起一个好记并且醒目的即可。
指定证书的有效期,一般来说1到2年即可,100年只是一个玩笑。
WindowsServer的生日到现在都没有这么大。
需要说明的是,证书到期需要续期。
证书的保存位置,我们可以根据这个位置制定相应的备份策略,以保障证书数据的安全。
这个以后会讲到,它可以用到SystemCenter2012SP1中的一个备份工具,叫做DPM。
部署完成,会有一张清单,可以在这里统一的检查一下,如果有问题可以随时退回。
很快这3个角色就安装好了。
当然,还有剩下的3个,这三个都是刚才无法一次性选择的。
这里需要选定一个账户,作为网络设备注册所使用的凭据,普通域账号权限即可,需要加入到证书服务器这台机器的iis_iusrs组中。
当然你用域管理员也没问题,但是这样非常不安全,同时也很脑残……为此,我专门创建了一个账号:
证书管理员(zs)。
接下来的信息可以随意,秉持原则依然是好记,标示明显。
这个页面的信息是为网络设备注册证书所使用的。
和配置CA一样,RA也要配置加密方法,默认即可。
在这里,选择CA名称和计算机名效果是一样的,大家可以看一下。
本例中,域名的名字是DC
身份验证方式选默认,在域内使用,Windows集成身份验证适用范围更广一些。
服务账户依然使用刚才注册的账号证书管理员(zs),从这里就可以慢慢发现,不使用域管理员账号一锅端,管理起来其实更明了。
哪些账号做什么用,需要什么权限都可以在实践中进一步掌握。
默认,原因同上。
这里终于有我们的证书用武之地了,这是第一张证书的第一次使用。
最后检查一下,没有问题就可以确认了。
至此,在WindowsServer2012下的证书服务器搭建就完成了,操作很简单。
关于哪些组件用到了证书,我们会在接下来的章节中学习到。
由于配置了Web页面的证书访问,那么在IIS中为首页配置一下重定向,会提升一些操作感。
最终实现的效果是,用户在网页中输入,实际打开的页面是 ,节省了用户记录域名的繁琐,当然作为管理员的你,也确实能够省一些力。
下面一章会介绍MSSQL2012SP1的安装,由于SystemCenter2012SP1有一个特殊的要求,所以爆点下一步的安装方式是不行的,具体如何操作,有兴趣的同学不防持续关注。
本文出自“九叔-微软私有云”博客,请务必保留此出处
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SystemCenterSP1 实践 部署 证书 服务器