第一个章节咱们介绍了如何在
WindowsServer2012下部署域环节,没有域环境,就如无源之水,无本之木同样,
SystemCenter2012SP1失去了生存的土壤。本章介绍的内容是如何部署内部的证书服务器,咱们的目的是让SystemCenter2012SP1运行的更好,更容易被用户接受,同时还要保障用户交互过程当中的数据安全。。
=======
我是分割线====================
证书服务器有什么做用?咱们为何要部署呢?
在SystemCenter2012SP1的总体部署中,证书服务器起到强化安全连接和减小错误报告的做用,主要做用就是这两个,看起来实在是不太给力。可是为何说它是必须的呢?
由于像下面这两种大红图,
九叔很难跟老板和用户交代。证书服务器的存在,就是消除在使用SystemCenter2012SP1时出现的这种大红图。
=======
我是分割线====================
证书是什么:
证书经过在客户端浏览器和Web服务器之间创建一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。通过身份验证的SSL证书包含企业身份信息,网民能够查看该证书判断网站身份。若是你的客户来自国外,若是因为客户不信任你的SSL证书,形成对网站的不信任,最终白白流失交易量就得不偿失了。因此最好选择大品牌的、知名度较高的SSL证书产品,如VeriSign。SSL证书签发通常由当地服务机构负责签发证书,在中国境内, VeriSign证书超过95%的证书由天威诚信代为签发。据统计全球,仅VeriSign SSL证书签发量就超过400万张。
经过这段简单介绍,你们能够了解到,证书的做用是对双方确认信任关系。证书有三大因素,
知足三大因素,证书才不会是"大红图"
-
正确的时间段(保证要在正确的时间范围内去访问,超过期间范围或未到,那么会出红)
-
可信任的颁发机构(如默认列表中有一些顶级的颁发机构,VeriSign就是很著名的一种。对于域内的用户来讲,咱们本身搭建证书服务器所颁发的证书,也算是可信的一种。可是若是搭建的SystemCenter2012平台是为公网用户使用的,那么咱们就必需要找VeriSign这种顶级机构颁发了)
-
与证书匹配的域名(好比咱们申请的证书是为www.51cto.com使用的,可是实际使用的域名是bbs.51cto.com,这样就出现证书不匹配的问题,也就是这个过程不可信。)
=======
我是分割线====================
搭建证书服务器是很简单的,下面你们来一块儿学习一下,首先看一下咱们所须要的工做环境:
|
操做系统
|
安装应用
|
功能
|
|
WindowsServer2012
|
DC+DHCP+DNS
|
域控制器+DHCP+DNS域名解析
|
|
WindowsServer2012
|
MSSQL2012SP1
|
SystemCenter数据库环境
|
此次将证书服务器搭建在DC这台机器上,证书服务器相对于服务器来讲,它仅仅是一个服务。在之后,除非特别特别指出,那么咱们的基础环境都是WindowsServer2012和SystemCenter2012SP1。
前面的安装类型、服务器选择略过,经过第一集的部署域控,相信你们对WindowsServer2012的安装过程已经有了必定了解。此次首先选择角色,勾选AD证书服务,而后点击继续。
这里看一下注意事项,部署证书的CA后,将没法修改计算机名。
这个服务包含6个角色,为了演示整个过程,我所有勾选了,其实若是仅仅是使用,那么前三项已经足够了。甚至不考虑扩展性,前两项也已足够。
自动重启选项是必需要勾选的。在WindowsServer2012中,部分操做若是不勾选这个选项,是没法进行下一步的。具体是哪些,你们能够自行测试。
角色安装完成后,咱们开始配置证书服务,若是你不是为本机安装,那么须要输入域管理员帐号,做为远程访问的凭据。
比较有意思的是,尽管咱们安装了6个角色,但这6个角色是没法同时配置的。首先选择前面的三个配置。(通常来讲你们有这3个也足够了。)
首先指定CA设置类型,这个毫无疑义,在域环境下,咱们须要选择企业CA。
接下来指定CA类型,既然是第一台CA,那么只能选根CA,若是你的域环境下须要部署多台CA,才会有必要选择下面的选项。根CA是什么概念呢?就是咱们常说的顶级证书颁发机构。从属CA通常都是第二级甚至第三级的颁发机构。可是无论怎么说,根CA只有一个。
既然是第一台,选择建立新的私钥。
加密选项使用默认,除非须要使用证书的服务器或工做站有特殊要求,通常不作变动。
指定CA名称,这个而已能够随意,起一个好记而且醒目的便可。
指定证书的有效期,通常来讲1到2年便可,100年只是一个玩笑。WindowsServer的生日到如今都没有这么大。须要说明的是,证书到期须要续期。
证书的保存位置,咱们能够根据这个位置制定相应的备份策略,以保障证书数据的安全。这个之后会讲到,它能够用到SystemCenter2012SP1中的一个备份工具,叫作DPM。
部署完成,会有一张清单,能够在这里统一的检查一下,若是有问题能够随时退回。
很快这3个角色就安装好了。
固然,还有剩下的3个,这三个都是刚才没法一次性选择的。
这里须要选定一个帐户,做为网络设备注册所使用的凭据,
普通域帐号权限便可,须要加入到证书服务器这台机器的iis_iusrs组中。固然你用域管理员也没问题,可是这样很是不安全,同时也很脑残……为此,我专门建立了一个帐号:证书管理员(zs)。
接下来的信息能够随意,秉持原则依然是好记,标示明显。这个页面的信息是为网络设备注册证书所使用的。
和配置CA同样,RA也要配置加密方法,默认便可。
在这里,选择CA名称和计算机名效果是同样的,你们能够看一下。本例中,域名的名字是DC.contoso.com
身份验证方式选默认,在域内使用,Windows集成身份验证适用范围更广一些。
服务帐户依然使用刚才注册的帐号证书管理员(zs),从这里就能够慢慢发现,不使用域管理员帐号一锅端,管理起来其实更明了。哪些帐号作什么用,须要什么权限均可以在实践中进一步掌握。
默认,缘由同上。
这里终于有咱们的证书用武之地了,这是第一张证书的第一次使用。
最后检查一下,没有问题就能够确认了。
至此,在WindowsServer2012下的证书服务器搭建就完成了,操做很简单。关于哪些组件用到了证书,咱们会在接下来的章节中学习到。
下面一章会介绍MSSQL2012SP1的安装,因为SystemCenter2012SP1有一个特殊的要求,因此爆点下一步的安装方式是不行的,具体如何操做,有兴趣的同窗不防持续关注。
