標籤:認證申請
有四種方式進行認證申請,這四種方式不僅適合skype/lync,也適合任何認證申請情境(除了第一種方式):
第一種方式:在SFB/LYNC安裝介面中用認證嚮導自動產生與分配認證,操作最簡單,但產生的認證匯出時不能匯出私密金鑰。
650) this.width=650;" height="229" title="clip_image001" style="border:0px;" alt="clip_image001" src="http://s3.51cto.com/wyfs02/M02/72/3E/wKioL1XfLt2BlDTvAACfRq2B0iU604.jpg" border="0" />
第二種方式:通過MMC,參見本系列之http://huoxian.blog.51cto.com/9437529/1680132
650) this.width=650;" height="313" title="clip_image002" style="border:0px;" alt="clip_image002" src="http://s3.51cto.com/wyfs02/M00/72/3E/wKioL1XfLt7DwqjWAAEJcjS0p_E525.jpg" border="0" />
第三種方式:通過web
通過web申請需要使用ssl加密串連,即採取https://ca/certsrv方式,預設沒有https,請增加https串連,如。
650) this.width=650;" height="362" title="clip_image003" style="border:0px;" alt="clip_image003" src="http://s3.51cto.com/wyfs02/M01/72/3E/wKioL1XfLt6wmDQgAAFTRCg6dAI402.jpg" border="0" />
第四種方式是今天主要講的東西,因為前三種大家都比較熟悉,一看就懂,但有些場合必須用第四種方式,特別是某些非微軟應用要用到認證時。前三種方式都是微軟系統內建的認證申請方式,方便快捷,但有一個缺點,就是申請的認證的私密金鑰是不能單獨匯出為一個獨立的私密金鑰檔案的,而有時我們可能是需要這個東西的,比如我們用wireshark抓SSL包時,由於ssl包是加密的,我們無法分析,此時若能夠使用對應私密金鑰解密SSL包,則對我們排錯是非常有協助的(wireshark支援,後面講到)。另外如果你配置過思科的產品,它也要求有獨立的私密金鑰與公開金鑰檔案才能合并產生認證,下面就講講第四種方法,基本步驟如下:
下載openssl,需要使用它。
我找了一個運行穩定的openssl版本,放在http://pan.baidu.com/s/1qW7lNv2上,你可以下載,同時裡面還有另外兩個檔案,建議在win7上運行,安裝時請先安裝vc++2008,再安裝openssl,然後把openssl.cnf拷貝到安裝目錄,openssl.cnf根據情況可以自行修改,後面會講到。
650) this.width=650;" height="148" title="clip_image004" style="border:0px;" alt="clip_image004" src="http://s3.51cto.com/wyfs02/M02/72/3E/wKioL1XfLt-isMtGAACP94QZFms550.jpg" border="0" />
650) this.width=650;" height="507" title="clip_image005" style="border:0px;" alt="clip_image005" src="http://s3.51cto.com/wyfs02/M00/72/3E/wKioL1XfLuDycoRQAAJpeVItTHo974.jpg" border="0" />
另外設定PATH環境變數指向其bin檔案夾。
二、進入bin目錄,運行:
openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout private.key -config "C:\OpenSSL-win32\openssl.cnf"
650) this.width=650;" height="366" title="clip_image006" style="border:0px;" alt="clip_image006" src="http://s3.51cto.com/wyfs02/M01/72/3E/wKioL1XfLuGwcyJ9AAIRX-eLbdo889.jpg" border="0" />
request.csr是認證請求檔案,private.key是私密金鑰。我這裡要申請一個多網域名稱認證,在openssl.conf裡面進行了相應配置。
650) this.width=650;" height="206" title="clip_image007" style="border:0px;" alt="clip_image007" src="http://s3.51cto.com/wyfs02/M02/72/42/wKiom1XfLMiTBKnXAACt6g05y0U298.jpg" border="0" />
二、用web方式進行申請:
650) this.width=650;" height="284" title="clip_image008" style="border:0px;" alt="clip_image008" src="http://s3.51cto.com/wyfs02/M00/72/3E/wKioL1XfLuLC66b1AAFGGVLIan8591.jpg" border="0" />
650) this.width=650;" height="238" title="clip_image009" style="border:0px;" alt="clip_image009" src="http://s3.51cto.com/wyfs02/M02/72/42/wKiom1XfLMnQVFqfAAChOXn1OeA068.jpg" border="0" />
650) this.width=650;" height="194" title="clip_image010" style="border:0px;" alt="clip_image010" src="http://s3.51cto.com/wyfs02/M00/72/3E/wKioL1XfLuOBl4BEAADK7ZMeoTg637.jpg" border="0" />
650) this.width=650;" height="470" title="clip_image011" style="border:0px;" alt="clip_image011" src="http://s3.51cto.com/wyfs02/M00/72/42/wKiom1XfLMrhJm_mAAGkr6_lhF0682.jpg" border="0" />
把第一步產生的request.csr裡面的內容複寫到“儲存的申請”框中,憑證範本選自訂好的電腦模板,最後提交。
650) this.width=650;" height="276" title="clip_image012" style="border:0px;" alt="clip_image012" src="http://s3.51cto.com/wyfs02/M01/72/42/wKiom1XfLMvTnm-XAADQ2CJtx64267.jpg" border="0" />
650) this.width=650;" height="242" title="clip_image013" style="border:0px;" alt="clip_image013" src="http://s3.51cto.com/wyfs02/M02/72/3E/wKioL1XfLuWhAigfAACIHIfIlt8996.jpg" border="0" />
最後下載BASE64編碼的認證。預設會是一個名叫certnew.cer的認證,雙擊查看一些資訊。
650) this.width=650;" height="484" title="clip_image014" style="border:0px;" alt="clip_image014" src="http://s3.51cto.com/wyfs02/M02/72/42/wKiom1XfLMziaxhcAAHNPcS3zSs822.jpg" border="0" />
三、公開金鑰私密金鑰的合成
記住上面下載的certnew.cer只是一個密鑰憑證,沒有包含私密金鑰,我們可以把第一步的私密金鑰和公開金鑰合并成一個,以便把申請的認證移植到其他電腦並匯入。
合并方法:
openssl pkcs12 -export -in certnew.cer -inkey private.key -out cme.pfx
也可以線上網頁合成:
http://www.myssl.cn/openssl/MergePEM.asp
四、匯入上面的pfx文檔到需要的電腦
650) this.width=650;" height="366" title="clip_image015" style="border:0px;" alt="clip_image015" src="http://s3.51cto.com/wyfs02/M00/72/3E/wKioL1XfLuaTh8mfAAFy1nPS82Y981.jpg" border="0" />
本文出自 “火線科技兄弟夥的部落格” 部落格,請務必保留此出處http://huoxian.blog.51cto.com/9437529/1689114
Skype for business/Lync之認證解析(四)認證申請的四種方式
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
