如何使用微软的CA服务器签发企业证书?

Linux基础

1 制作申请证书的csr文件

1.1 生成私钥key和csr文件

In Web Ser

cd /etc/pki/tls
openssl req -new -nodes -keyout xxx.cmdschool.org.key -out xxx.cmdschool.org.csr

请根据如下向导执行,

[...]
Country Name (2 letter code)  [XX]:CN
State or Province Name (full name) []:GD
Locality Name (eg, city) [Default City]:DG
Organization Name (eg, company) [Default Company Ltd]:cmdschool.org
Organizational Unit Name (eg, section) []:cmdschool
Common Name (eg, your name or your server's hostname) []:xxx.cmdschool.org
Email Address []:will@cmdschool.org
[...]
A challenge password []:
An optional company name []:

注:xxx代表主机名称

1.2 取得csr

In Web Ser

cat xxx.cmdschool.org.csr

可见如下内容,

-----BEGIN CERTIFICATE REQUEST-----
MIIC1TCCAb0CAQAwgY8xCzAJBgNVBAYTAkNOMQswCQYDVQQIDAJHRDELMAkGA1UE
[...]
4buJg0yjN1nX
-----END CERTIFICATE REQUEST-----

注:中括号表示省略

2 向CA服务器申请证书

2.1 提交证书申请请求

In CA Client
CA申请链接如下:
http://10.168.0.250/certsrv/
注:以上是证书服务器的地址

如上图所示:
单击【Request a certificate】→【advanced certificate request】→ 【Submit a certificate request …】
页面显示如下:

如上图所示:
将csr文件的内容复制到“Saved Request”中并单击【Submit】
页面显示如下:

如上图所示:
记录下请求ID,即142,并让CA管理员批准。

2.2 批准申请的证书

In CA Ser

如上图所示,
登录到CA服务器,
单击【start】→【Administrative Tools】→【Certification Authority】
窗口显示如下,

单击【Pending Requests】
然后选中请求ID“142”→【All Tasks】→【Issue】

2.3 下载请求证书

In CA Client
从如下链接进入证书下载页面,
http://10.168.0.250/certsrv/certfnsh.asp
页面显示如下:

如上图所示:
单击【Saved-Request Certificate】
页面显示如下:

如上图所示:
单击【Download Certiticate】下载证书并重命名为“xxx.cmdschool.org.cer”
另外,文件内容范例如下,

-----BEGIN CERTIFICATE-----
MIIHLTCCBRWgAwIBAgIKQjJPBQABAAAA2TANBgkqhkiG9w0BAQUFADApMScwJQYD
[...]
AZG4BOADZeezBaojELTkKiY=
-----END CERTIFICATE-----

2.4 下载CA Root证书

In CA Client
进入如下根证书下载页面,
http://10.168.0.250/certsrv/certcarc.asp

如上图所示:
单击【Download a CA certificate certificate chain or CRL】
页面显示如下:

如上图所示:
单击【Download CA certificate】并重命名为“root_bundle.cer”
另外,文件内容范例如下,

-----BEGIN CERTIFICATE-----
MIIFLTCCAxWgAwIBAgIQK8B9B3aU4o9ElEBb99uh0jANBgkqhkiG9w0BAQUFADAp
[..]
Us9+vnjHpg5nHCRluoEk5WjO7vdwBjdyFvoahjcBBeYl
-----END CERTIFICATE-----

3 使用证书

3.1 生成Nginx所需的证书

cat xxxx.cmdschool.org.cer root_bundle.cer > xxx.cmdschool.org.crt

注:以上有顺序要求,倒过来可能无法通过Nginx的检测

4 WebSer服务端配置

由于本章节重点是讲如何生成证书,具体的服务端证书如何配置,请参考如下文档,
https://www.qcloud.com/document/product/400/4143#1.-apache-2.x-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2

没有评论

发表评论

Linux基础
如何修改应用打开的文件数?

1 前言 一个问题,一篇文章,一出故事。 生产环境中很多程序都需要设置打开的文件数两,于是整理此文。 …

Linux基础
如何排查Windows客户端网络故障?

1 前言 一个问题,一篇文章,一出故事。 笔者有个朋友需要排查网络故障,由于无法远程协助,故整理此文 …

Linux基础
如何修改onlyoffice缓存配置?

1 前言 一个问题,一篇文章,一出故事。 笔记的生产环境的onlyoffice需要修改onlyoff …