在一些特定的生产环境下,我们可能与域证书服务器的通信不畅,无法使用web或向导去申请证书,这个时候怎么办呢?其实并不是一筹莫展,我们可以采用网络设备申请证书的方式,离线为Windows主机申请证书。
由于证书在Windows各种服务中的重要性,因此对于申请证书的方法,除了在本系列第9篇文章中介绍的正常申请方式,我们还是需要掌握其他的非主流方法。
==============我是分隔线===========================
今天我们的目的是离线申请IIS、远程桌面连接所用的证书。
首先第一步,登陆需要申请证书的服务器,运行mmc.exe,在控制台根节点右键选择添加或删除管理单元→证书→本地计算机
一般来说,如果网络没问题,我们需要依次点击证书→个人→证书→所有任务→申请新证书,然后根据模板巴拉巴拉点一遍。
当和证书服务器通信有问题的时候(当然不是域健康问题,而是一些网络策略的问题),我们则需要在"所有任务"处选择下面的一条线路→高级操作→创建自定义请求。
接下来进入离线申请阶段
依然是选择AD注册策略,原因上面已经说了,和证书通信有问题,但是前提是和AD通信是正常的。
选择需要的模板,这里可以获取到域上同步到的,并且有权限申请的所有模板。
关键点来了,展开详细信息,点击属性。
这时我们可以修改证书的很多选项,比如定义多个公用名,其实多公用名的使用还是很广泛的,比如某一台物理服务器上拥有4、5个站点,而每个站点的域名不同,那么申请一次就可以一下解决所有问题。
友好名称是选填的,但是依然建议各位手动指定一下。
在私钥上勾选可导出。
返回之后我们点击下一步。
接下来要求我们保存一下脱机申请文件,找个地方保存吧,需要注意扩展名。
验明正身,点击完成保存脱机文件。
搞定脱机文件之后,我们带着这个脱机文件翻山越岭登陆到证书服务器上,在证书颁发机构上依次点击所有任务→提交一个新的申请(各位可以看到,我的证书服务器是2003的,但这一点不影响在2012下的申请操作)
选择刚才的脱机文件,立刻会要求保存申请好的证书,选个地方保存即可,然后再翻山越岭拷回申请的服务器。
接下来的操作乏善可陈,我们可以看到证书的详细信息了。
双击安装,并选择"本地计算机"(因为我们是要为IIS和远程桌面使用的),然后一直下一步就可以了。
回到证书(本地计算机),我们可以看到新获取的证书,这个时候双击证书,可以看到一个重要的提示"你有一个与该证书对应的私钥",这里需要说明的是,如果没有私钥,是无法作为Windows下IIS的证书的。
最后来个小技巧,这也是最近才学会的,为Windows2012的远程桌面配置证书,需要一条命令。
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="12 08 ba 3e 1e 15 15 db 3b 26 b6 94 f6 c8 00 39 10 6e ca e6"
这条命令需要以管理员身份在CMD下运行,而兰色部分标注的是证书的SHA1指纹,刚才经过一些操作,我们已经拿到了证书的指纹,在这条命令中输入即可。
这么费劲实现的是什么效果呢?下图很能说明问题,具体原因不解释。
原创文章,转载请注明: 转载自奶油九叔