第一個章節咱們介紹瞭如何在
WindowsServer2012下部署域環節,沒有域環境,就如無源之水,無本之木同樣,
SystemCenter2012SP1失去了生存的土壤。本章介紹的內容是如何部署內部的證書服務器,咱們的目的是讓SystemCenter2012SP1運行的更好,更容易被用戶接受,同時還要保障用戶交互過程當中的數據安全。。
=======
我是分割線====================
證書服務器有什麼做用?咱們爲何要部署呢?
在SystemCenter2012SP1的總體部署中,證書服務器起到強化安全連接和減小錯誤報告的做用,主要做用就是這兩個,看起來實在是不太給力。可是爲何說它是必須的呢?
由於像下面這兩種大紅圖,
九叔很難跟老闆和用戶交代。證書服務器的存在,就是消除在使用SystemCenter2012SP1時出現的這種大紅圖。
=======
我是分割線====================
證書是什麼:
證書經過在客戶端瀏覽器和Web服務器之間創建一條SSL安全通道確保數據在傳送中不被隨意查看、竊取、修改。通過身份驗證的SSL證書包含企業身份信息,網民能夠查看該證書判斷網站身份。若是你的客戶來自國外,若是因爲客戶不信任你的SSL證書,形成對網站的不信任,最終白白流失交易量就得不償失了。因此最好選擇大品牌的、知名度較高的SSL證書產品,如VeriSign。SSL證書籤發通常由當地服務機構負責簽發證書,在中國境內, VeriSign證書超過95%的證書由天威誠信代爲簽發。據統計全球,僅VeriSign SSL證書籤髮量就超過400萬張。
經過這段簡單介紹,你們能夠了解到,證書的做用是對雙方確認信任關係。證書有三大因素,
知足三大因素,證書纔不會是"大紅圖"
-
正確的時間段(保證要在正確的時間範圍內去訪問,超過期間範圍或未到,那麼會出紅)
-
可信任的頒發機構(如默認列表中有一些頂級的頒發機構,VeriSign就是很著名的一種。對於域內的用戶來講,咱們本身搭建證書服務器所頒發的證書,也算是可信的一種。可是若是搭建的SystemCenter2012平臺是爲公網用戶使用的,那麼咱們就必需要找VeriSign這種頂級機構頒發了)
-
與證書匹配的域名(好比咱們申請的證書是爲www.51cto.com使用的,可是實際使用的域名是bbs.51cto.com,這樣就出現證書不匹配的問題,也就是這個過程不可信。)
=======
我是分割線====================
搭建證書服務器是很簡單的,下面你們來一塊兒學習一下,首先看一下咱們所須要的工做環境:
|
操做系統
|
安裝應用
|
功能
|
|
WindowsServer2012
|
DC+DHCP+DNS
|
域控制器+DHCP+DNS域名解析
|
|
WindowsServer2012
|
MSSQL2012SP1
|
SystemCenter數據庫環境
|
此次將證書服務器搭建在DC這臺機器上,證書服務器相對於服務器來講,它僅僅是一個服務。在之後,除非特別特別指出,那麼咱們的基礎環境都是WindowsServer2012和SystemCenter2012SP1。
前面的安裝類型、服務器選擇略過,經過第一集的部署域控,相信你們對WindowsServer2012的安裝過程已經有了必定了解。此次首先選擇角色,勾選AD證書服務,而後點擊繼續。
這裏看一下注意事項,部署證書的CA後,將沒法修改計算機名。
這個服務包含6個角色,爲了演示整個過程,我所有勾選了,其實若是僅僅是使用,那麼前三項已經足夠了。甚至不考慮擴展性,前兩項也已足夠。
自動重啓選項是必需要勾選的。在WindowsServer2012中,部分操做若是不勾選這個選項,是沒法進行下一步的。具體是哪些,你們能夠自行測試。
角色安裝完成後,咱們開始配置證書服務,若是你不是爲本機安裝,那麼須要輸入域管理員帳號,做爲遠程訪問的憑據。
比較有意思的是,儘管咱們安裝了6個角色,但這6個角色是沒法同時配置的。首先選擇前面的三個配置。(通常來講你們有這3個也足夠了。)
首先指定CA設置類型,這個毫無疑義,在域環境下,咱們須要選擇企業CA。
接下來指定CA類型,既然是第一臺CA,那麼只能選根CA,若是你的域環境下須要部署多臺CA,纔會有必要選擇下面的選項。根CA是什麼概念呢?就是咱們常說的頂級證書頒發機構。從屬CA通常都是第二級甚至第三級的頒發機構。可是無論怎麼說,根CA只有一個。
既然是第一臺,選擇建立新的私鑰。
加密選項使用默認,除非須要使用證書的服務器或工做站有特殊要求,通常不作變動。
指定CA名稱,這個而已能夠隨意,起一個好記而且醒目的便可。
指定證書的有效期,通常來講1到2年便可,100年只是一個玩笑。WindowsServer的生日到如今都沒有這麼大。須要說明的是,證書到期須要續期。
證書的保存位置,咱們能夠根據這個位置制定相應的備份策略,以保障證書數據的安全。這個之後會講到,它能夠用到SystemCenter2012SP1中的一個備份工具,叫作DPM。
部署完成,會有一張清單,能夠在這裏統一的檢查一下,若是有問題能夠隨時退回。
很快這3個角色就安裝好了。
固然,還有剩下的3個,這三個都是剛纔沒法一次性選擇的。
這裏須要選定一個帳戶,做爲網絡設備註冊所使用的憑據,
普通域帳號權限便可,須要加入到證書服務器這臺機器的iis_iusrs組中。固然你用域管理員也沒問題,可是這樣很是不安全,同時也很腦殘……爲此,我專門建立了一個帳號:證書管理員(zs)。
接下來的信息能夠隨意,秉持原則依然是好記,標示明顯。這個頁面的信息是爲網絡設備註冊證書所使用的。
和配置CA同樣,RA也要配置加密方法,默認便可。
在這裏,選擇CA名稱和計算機名效果是同樣的,你們能夠看一下。本例中,域名的名字是DC.contoso.com
身份驗證方式選默認,在域內使用,Windows集成身份驗證適用範圍更廣一些。
服務帳戶依然使用剛纔註冊的帳號證書管理員(zs),從這裏就能夠慢慢發現,不使用域管理員帳號一鍋端,管理起來其實更明瞭。哪些帳號作什麼用,須要什麼權限均可以在實踐中進一步掌握。
默認,緣由同上。
這裏終於有咱們的證書用武之地了,這是第一張證書的第一次使用。
最後檢查一下,沒有問題就能夠確認了。
至此,在WindowsServer2012下的證書服務器搭建就完成了,操做很簡單。關於哪些組件用到了證書,咱們會在接下來的章節中學習到。
下面一章會介紹MSSQL2012SP1的安裝,因爲SystemCenter2012SP1有一個特殊的要求,因此爆點下一步的安裝方式是不行的,具體如何操做,有興趣的同窗不防持續關注。
