有四種方式進行證書申請,這四種方式不僅適合skype/lync,也適合任何證書申請場景(除了第一種方式):
第一種方式:在SFB/LYNC安裝界面中用證書嚮導自動生成與分配證書,操作最簡單,但生成的證書導出時不能導出私鑰。
第二種方式:通過MMC,參見本系列之http://huoxian.blog.51cto.com/9437529/1680132
第三種方式:通過web
通過web申請需要使用ssl加密連接,即採取https://ca/certsrv方式,默認沒有https,請增加https連接,如下圖。
第四種方式是今天主要講的東西,因爲前三種大家都比較熟悉,一看就懂,但有些場合必須用第四種方式,特別是某些非微軟應用要用到證書時。前三種方式都是微軟系統內置的證書申請方式,方便快捷,但有一個缺點,就是申請的證書的私鑰是不能單獨導出爲一個獨立的私鑰文件的,而有時我們可能是需要這個東西的,比如我們用wireshark抓SSL包時,由於ssl包是加密的,我們無法分析,此時若能夠使用對應私鑰解密SSL包,則對我們排錯是非常有幫助的(wireshark支持,後面講到)。另外如果你配置過思科的產品,它也要求有獨立的私鑰與公鑰文件才能合併生成證書,下面就講講第四種方法,基本步驟如下:
下載openssl,需要使用它。
我找了一個運行穩定的openssl版本,放在http://pan.baidu.com/s/1qW7lNv2上,你可以下載,同時裏面還有另外兩個文件,建議在win7上運行,安裝時請先安裝vc++2008,再安裝openssl,然後把openssl.cnf拷貝到安裝目錄,openssl.cnf根據情況可以自行修改,後面會講到。
另外設置PATH環境變量指向其bin文件夾。
二、進入bin目錄,運行:
openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout private.key -config "C:\OpenSSL-win32\openssl.cnf"
request.csr是證書請求文件,private.key是私鑰。我這裏要申請一個多域名證書,在openssl.conf裏面進行了相應配置。
二、用web方式進行申請:
把第一步生成的request.csr裏面的內容複製到“保存的申請”框中,證書模板選自定義好的計算機模板,最後提交。
最後下載BASE64編碼的證書。默認會是一個名叫certnew.cer的證書,雙擊查看一些信息。
三、公鑰私鑰的合成
記住上面下載的certnew.cer只是一個公鑰證書,沒有包含私鑰,我們可以把第一步的私鑰和公鑰合併成一個,以便把申請的證書移植到其他計算機並導入。
合併方法:
openssl pkcs12 -export -in certnew.cer -inkey private.key -out cme.pfx
也可以在線網頁合成:
http://www.myssl.cn/openssl/MergePEM.asp
四、導入上面的pfx文檔到需要的計算機
