證書對于保護(hù)系統(tǒng)安全是很重要的，利用證書服務(wù)，可以在客戶端和服務(wù)器通訊時，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，來保證其安全性，防止黑客非法攔截和嗅探。在Windows Server 2012中，針對證書提供了一些新功能。例如，所有的證書角色在任意版本的Windows Server 2012中都能夠支持，包括Windows Server Core模式在內(nèi)。對于證書服務(wù)來說，使用者頒發(fā)的證書如果需要續(xù)約的話，對于工作組的計算機(jī)來說，可以使用相同的密鑰進(jìn)行續(xù)約。這里就以證書申請加密和集中式SSL支持為例，進(jìn)行相關(guān)的介紹。

使用證書申請加密功能

在Windows Server 2008 R2中已經(jīng)提供了證書申請加密功能，但是默認(rèn)情況下并未啟用。在Windows Server 2012中，已經(jīng)默認(rèn)啟用了該功能。當(dāng)啟用了該功能后，可以看到當(dāng)Windows XP等老系統(tǒng)的主機(jī)在申請證書時，是無法成功的。例如，在域環(huán)境中，在域控制器上安裝的是Windows Server 2012，首先需要將其配置成證書服務(wù)器。在服務(wù)器管理器中點擊菜單“管理→添加角色和功能”項，在向?qū)Ы缑嬷幸来吸c擊“下一步”按鈕，在“角色”列表中選擇“Active Directory證書服務(wù)”項，以后依次點擊“下一步”按鈕，在“角色服務(wù)”列表中選擇“證書頒發(fā)機(jī)構(gòu)”項，之后執(zhí)行該角色的安裝操作。

當(dāng)安裝完畢后，點擊“配置目標(biāo)服務(wù)器上的Active Directory證書服務(wù)”鏈接，在配置界面（如圖1）中點擊“下一步”按鈕，在“選擇要配置的角色服務(wù)”列表中選擇“證書頒發(fā)機(jī)構(gòu)”項，在“下一步”窗口中選擇“企業(yè)CA”項，在指定CA類型界面中選擇“根CA”項。在下一步窗口中選擇“創(chuàng)建新的私鑰”項，對于加密選項保持默認(rèn)即可。在“指定CA名稱”界面中可以設(shè)置該CA的公用名稱，可分辨名稱后綴、預(yù)覽可分辨名稱等參數(shù)。之后的設(shè)置均保持默認(rèn)。點擊“配置”按鈕，完成所需的配置操作。

當(dāng)安裝好了活動目錄的證書角色后，該控制器才可以為客戶端提供證書服務(wù)。

點擊“Win+R”鍵，執(zhí)行“mmc”命令，在控制臺界面中點擊菜單“文件→添加/刪除管理單元”項，在彈出窗口左側(cè)列表中選擇“證書”項，點擊“添加”按鈕，在證書管理單元窗口中選擇“計算機(jī)賬戶”項，點擊“確認(rèn)”按鈕。

在控制臺左側(cè)選擇“證書→個人→證書”項，在證書的右鍵菜單中點擊“所有任務(wù)→導(dǎo)出”項，在導(dǎo)出向?qū)Т翱冢ㄈ鐖D2）中點擊“下一步”按鈕，在“導(dǎo)出私鑰”窗口中選擇“不，不要導(dǎo)出私鑰”項，點擊“下一步”按鈕。在“文件名”欄中點擊“瀏覽”按鈕，設(shè)置導(dǎo)出文件名稱。點擊“完成”按鈕，執(zhí)行證書導(dǎo)出操作。之后將導(dǎo)出的證書文件復(fù)制到客戶端中。

圖1 證書配置向?qū)Ы缑?/p>

圖2 證書導(dǎo)出界面

例如，在Windows XP等老系統(tǒng)中按照上述步驟，打開控制臺，添加證書管理單元，在控制臺左側(cè)點擊“證書→受信任的根證書頒發(fā)機(jī)構(gòu)→證書”項，在右鍵菜單上點擊“所有任務(wù)→導(dǎo)入”項，在向?qū)е械摹耙獙?dǎo)入的文件”窗口中點擊“瀏覽”按鈕，選擇上述證書文件。在“證書存儲”窗口中選擇“將所有證書放入下列存儲區(qū)”項，在下一步窗口中點擊“完成”按鈕，完成證書導(dǎo)入操作。這樣，客戶端就可以信任根證書的頒發(fā)機(jī)構(gòu)。

在左側(cè)選擇“證書→個人→證書”項，在右鍵菜單中點擊“所有任務(wù)→申請新證書”項，在向?qū)е械淖C書類別中選擇“計算機(jī)”項，在下一窗口中設(shè)置易于記憶的證書名稱和描述信息。

點擊“完成”，系統(tǒng)彈出“證書申請失敗，此證書頒發(fā)機(jī)構(gòu)的權(quán)限不允許當(dāng)前用戶注冊證書”的警告信息。這是因為在默認(rèn)情況下，Windows Server 2012的證書頒發(fā)機(jī)構(gòu)要求客戶端提供的證書申請是加密的，但是Windows XP等老系統(tǒng)在申請證書時并未加密，才導(dǎo)致出現(xiàn)上述問題。為了解決該問題，可以在Windows Server 2012中打開cmd窗口，執(zhí)行“certutil –setreg CAInterfaceFlags –IF_ENFORCEENCRYPTICERTREQUEST”命令，將安全界別進(jìn)行更改，之 后 執(zhí) 行“net stop certsvc” 和“net start certsvc”命令，重啟證書服務(wù)。之后在Windows XP中就可以按照上述方法，順利申請證書了。

使用集中式SSL支持功能

在Windows Server 2012中的IIS 8.0組件中，提供了集中式SSL支持功能，可以更好地綁定證書。例如，在域環(huán)境中，存在兩臺IIS服務(wù)器，用來實現(xiàn)Web負(fù)載均衡。首先在域控制器上執(zhí)行初始化的配置，在DNS管理器中左側(cè)點擊“DNS→DC→正向查找區(qū)域→具體的域名”項，在其中可以查看兩臺IIS服務(wù)器的記錄信息。例如，可以將其配置為IIS允許的負(fù)載均衡，在右鍵菜單中點擊“新建主機(jī)（A或 AAAA）”項，在新建主機(jī)窗口中輸入其名稱、IP地址等信息，點擊“添加主機(jī)”按鈕，完成添加操作。同理，為兩臺IIS主機(jī)分別添加主機(jī)記錄。

在應(yīng)用界面中點擊“證書頒發(fā)機(jī)構(gòu)”程序項，在彈出窗口左側(cè)選擇“證書頒發(fā)機(jī)構(gòu)→XXX-DC-CA-1→證書模板”項，其中的“XXX”表示具體的域名。在右側(cè)窗口的右鍵菜單上點擊“管理”項，在證書模板窗口（如圖3）中顯示所有的證書項目，選擇“Web 服務(wù)器”項，在右鍵菜單上點擊“復(fù)制模板”項，在屬性窗口“兼容性”面板中的“證書頒發(fā)機(jī)構(gòu)”列表中選擇“Windows Server2012”項，在“證書接收人”列表中選 擇“Windows 8/Windows Server 2012”項，在“請求處理”面板中選擇“允許導(dǎo)出私鑰”項，在“使用者名稱”面板中選擇“在請求中提供”項，在“安全”面板中選擇“Authenticated Users”項，并選擇允許注冊權(quán)限。點擊“應(yīng)用”按鈕，激活配置信息。

圖3 證書模板管理窗口

在證書頒發(fā)機(jī)構(gòu)窗口右側(cè)的右鍵菜單中選擇“新建→要頒發(fā)的證書模板”項，在啟用證書模板窗口中選擇“Web服務(wù)器的副本”項，即上述新建的證書模板。完成準(zhǔn)備工作后，就可以為IIS服務(wù)器頒發(fā)證書了。

按照常規(guī)的方法，需要在IIS服務(wù)器中打開控制臺界面，添加證書管理單元，在左側(cè)選擇“證書→個人→證書”項，在右側(cè)窗口的右鍵菜單中點擊“所有任務(wù)→申請新證書”項，在向?qū)Ы缑嬷悬c擊“下一步”按鈕，在選擇證書注冊策略窗口中選擇“Active Directory 注冊策略”項，在下一步窗口中選擇“Web服務(wù)器 的副本”項，點擊其右側(cè)的“詳細(xì)信息”項，在彈出面板中點擊“屬性”按鈕，打開證書屬性窗口，在其中可以配置相關(guān)的參數(shù)。

例如，在“使用者”面板中的“使用者名稱”欄中的“類型”列表中選擇“公用名”項，在“值”欄中輸入具體的內(nèi)容，這里為了簡單起見，輸入“www.xxx.com”之類的域名。點擊“添加”按鈕，完成添加操作。

在“私鑰”面板中打開“密鑰選項”項，在其中選擇“使私鑰可以導(dǎo)出”項，點擊“確認(rèn)”按鈕，在證書注冊窗口中點擊“注冊”按鈕，完成注冊操作。之后在證書列表中選擇申請到的證書，在右鍵菜單上點擊“所有任務(wù)→導(dǎo)出”項，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項。點擊“下一步”。在安全窗口中選擇“密碼”，設(shè)置所需的密碼，在下一步窗口中設(shè)置證書的存儲路徑，點擊“完成”，得到所需的證書文件（后綴為“.pfx”）。

將該證書文件復(fù)制帶另外一臺IIS服務(wù)器上，打開控制臺窗口，添加證書管理單元，完成證書的導(dǎo)入操作，方法是，先選擇證書文件，并輸入私鑰密碼，完成導(dǎo)入操作。在兩臺服務(wù)器上準(zhǔn)備好證書之后，就可以為IIS綁定證書了。例如，在兩臺IIS服務(wù)器上分別打開IIS管理器，在左側(cè)選擇Web站點，在中部點擊“SSL設(shè)置”項，在右側(cè)點擊“綁定”鏈接，在綁定窗口（如圖4）中點擊“添加”按鈕，在添加網(wǎng)站綁定窗口中在“類型”列表中選擇“https”項，在“SSL證書”列表中選擇對應(yīng)的證書，點擊“確定”，完成證書的綁定。這樣，當(dāng)客戶機(jī)和Web服務(wù)器通訊時，就會實現(xiàn)加密功能。

但是，上述方法實現(xiàn)起來比較復(fù)雜，如果增加IIS服務(wù)器的話，就需要重復(fù)以上操作。如果證書發(fā)生變動的話，所有的相關(guān)服務(wù)器都需要重新配置，其工作量是比較大的。Windows Server 2012提供的集中式SSL證書管理，可以很好地解決上述問題。例如，在域控制器上創(chuàng)建一個文件夾（例如“zhengshugx”），用來存儲證書文件。打開文件共享窗口，在用戶列表中選 擇“Everyone”，點 擊“添加”按鈕，將其添加到共享列表中。選擇“Everyone”項，為其添加“讀取/寫入”權(quán)限。當(dāng)然，這里只是用來演示的。在實際的操作環(huán)境中，不建議這樣做。

圖4 為網(wǎng)站綁定證書

圖5 添加集中式SSL證書角色

之后將上述導(dǎo)出的證書文件復(fù)制到該文件夾中，并將其名稱修改為客戶端訪問的名稱，例如“www.xxx.com.pfx”。在兩臺IIS服務(wù)器上分別打開服務(wù)器管理器，點擊“添加角色和功能”項在，在向?qū)Ы缑妫ㄈ鐖D5）中依次點擊下一步按鈕，在角色列表中打開“Web服務(wù)器（已安裝）”項在，在其下選擇“安全性→集中式SSL證書支持”項，在下一步窗口中點擊安裝按鈕，安裝所需的功能項目。

當(dāng)啟用了SSL集中式管理后，在每一臺IIS服務(wù)器上打開IIS管理器，在左側(cè)選擇根節(jié)點（即服務(wù)器名稱項），在中部的“管理”欄中雙擊“集中式證書”項，在集中式證書界面右側(cè)點擊“編輯功能設(shè)置”鏈接，在彈出窗口中選擇“啟用集中式證書”項，在“物理路徑”欄中點擊瀏覽按鈕，選擇上述證書文件夾路徑，輸入用于連接的用戶名和密碼信息，在“證書私鑰密碼”欄中輸入證書私鑰密碼。點擊“確定”完成證書的導(dǎo)入操作。

之后，選擇對應(yīng)的網(wǎng)站，按照上述方法打開證書綁定窗口，在“SSL證書”列表中選擇對應(yīng)的證書即可。這樣，當(dāng)添加更多的服務(wù)器后，也可以按照上述方法，啟用SSL證書管理功能，提高綁定的效率。