在 Windows 中间层服务器上设置 SSL 和证书

当在 Windows 2000 机器上设置用于中间层服务器的 SSL 时,用 Internet 服务管理器和 ConsoleOne(R) 进行所有管理。设置中的主要步骤包括如下:


生成证书符号请求

在 Windows 2000 服务器上安装的中间层服务器上生成证书请求:

  1. 在服务器桌面,单击“程序”>管理工具> Internet 服务管理器> Internet 信息服务,以打开 Internet 信息服务窗口。

  2. 单击中间层服务器上的 + 号展开其分层结构。

  3. 右击“默认万维网站点”>单击“属性”打开“默认万维网站点属性”对话框。

    如果仍未配置 SSL 证书,则 SSL 端口字段变暗。

  4. 单击“目录安全”打开“目录安全”页。

  5. 单击“服务器证书”以起动“Web 服务证书向导”。

    1. 在向导的“欢迎”页上,单击“下一步”打开“服务器证书”页。

    2. 在“服务器证书”页,选择“创建新证书”,然后单击“下一步”。

    3. 在“向导延迟或即时”页,选择“立即准备和请求,但稍后发送”,然后单击“下一步”。

    4. 在“名称和安全设置”页,指定如 DaveMiddleTier 万维网站点等证书名称,将位长更改为 1024,然后单击“下一步”。

    5. 在向导的“组织信息”页中,指定您在“组织和组织单位”字段中的组织或组织单位名称,然后单击“下一步”。

    6. 在向导的“站点常用名称”页,如果您在 DNS 表中,则指定整个 DNS 名称如 zztop1.zenworks.provo.novell.com 等,然后单击“下一步”。

      如果是静态的或所有访问经过 IP 地址,则也可指定 IP 地址。

      如果服务器在防火墙后,则指定服务器用以知道外部世界的 DNS 名称。

    7. 在向导的 “地理信息”页中的“国家、州和城市”字段中输入正确的信息,然后单击“下一步”。

    8. 在向导的“证书请求文件名”页的可访问位置保存证书请求,然后单击“下一步”。

      此请求是将提交给可信的证书当局 (CA) 签名的文件。

    9. 在向导的“请求文件摘要”页审阅所有信息。如有必要,可使用“返回”按钮更改适当的页。单击“下一步”。

    10. 在向导的“完成 Web 服务证书向导”页单击“完成”。

  6. 将证书请求提交给适当可信的证书当局。当可信的 CA 发布证书时,继续进行 IIS 中的申请中证书请求中列出的步骤。


将 eDirectory 根 CA 用于发布证书

可将 eDirectory 根 CA 用于发布用于有效证书符号请求 (CSR) 的证书。如果使用此方法,则根不是可信的根。有关更多信息,请参见步骤 4

此机器应该已安装 Novell ClientTM 4.83 以上版本、ConsoleOne 1.3.3 以上版本和 Novell 国际密码学基础架构 (NICI) 客户机 2.4.0 以上版本。

  1. 在服务器的桌面上,起动 ConsoleOne。

  2. 选择服务器对象驻留在树中的树枝。

  3. 选择“工具”>“发布证书”以起动“发布证书向导”。

    1. 在“文件名”字段,指定包含证书请求的文件名,然后单击“下一步”。

    2. 在“组织证书机构”页,单击“下一步”。

    3. 在 SSL 或 TLS 页单击“下一步”。

    4. 在向导的下一页,通过单击“下一步”接受默认值。

    5. 在“保存证书”页,将文件另存为默认值(即 .der 格式)

  4. 从证书机构导出自己签订的证书。

    由于根不是可信根,需要从根 CA 将自己签订的证书导入连接到中间层服务器的所有工作站。如果不导入自己签订的证书,则对该 CA 发布的所有证书,证书验证失败。

    1. 在 ConsoleOne 中,浏览树中的“安全”树枝。用挂锁图标确定“安全”树枝。

    2. 右击“服务器名称组织 CA”选择>“属性”。

    3. 单击“证书”>选择自己签订的证书

    4. 单击“导出”。

    5. 接受成功页上的默认值,直到需要保存到位置。


将根 CA 安装到中间层服务器上

如果不可信 CA (例如 eDirectory 根 CA)签订了证书请求,页必须从中间层服务器上的 CA 安装自己签订的证书。

  1. 从 CA 确定并双击包含自签证书的文件。

  2. 在“证书”页,单击“安装证书”起动向导。

    1. 在向导的第一页,单击“下一步”。

    2. 在向导的第二页,当看到讯息为“自动选择证书商店”时,单击“下一步”。

    3. 在向导的第一页,单击“完成”。

    4. 在“根证书店”讯息框,选择“是”。

    5. 在“成功导入”对话框中单击“确定”。

    显示“导入成功”的讯息。


进行 IIS 中的申请中证书请求

当可信 CA 已发布证书时,可使用 Internet 服务管理器处理请求。

  1. 在服务器桌面,单击“程序”>管理工具> Internet 服务管理器> Internet 信息服务,以打开 Internet 信息服务窗口。

  2. 单击中间层服务器上的 + 号展开其分层结构。

  3. 右击“默认万维网站点”,然后单击“属性”打开“默认万维网站点属性”对话框。

  4. 单击“目录安全”打开“目录安全”页。

  5. 单击“服务器证书”以起动“Web 服务证书向导”。

  6. 使用 Web 服务证书向导处理“证书请求”:

    1. 在“欢迎”页,单击“下一步”。

    2. 在“服务器证书”页,选择“进程和申请中请求和安装证书”,然后单击“下一步”。

    3. 在下一页,输入从认证机构接受所签订证书的完整路径。

      这可能是 .der 或 .cer 文件,或带其他扩展名的文件,具体取决于认证机构所用的命名约定。

    4. 在“下一向导”页,单击“下一步”。

    5. 在“最后向导”页,单击“完成”。

  7. 关闭“属性”页。

  8. 右击树中的服务器图标,然后选择“重起动 IIS”。

  9. 重起动 IIS 时,打开默认万维网站点的属性,并校验 SSL 端口可用。