View_5.2安全服务器和连接服务器的SSL配置------精讲

合集下载

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

配置环境: (2)

1.在server上用keytool生成pkcs12密钥文件 (4)

2.发送到CA申请WEB服务器证书 (5)

3.将申请好的证书转换为PKCS#12格式 (7)

4.导入签名证书到密钥文件 (10)

5.在View server安装路径\sslgateway\conf下建立locked.properties 文件中 (10)

6.把keys.p12导入到本地计算机证书 (11)

7.修改证书友好名称,导入根CA信任 (14)

8.重启connection server服务器或服务 (15)

9.测试 (15)

10.关于为什么一定要勾选”标志此米要为可导出的密钥” (16)

此文是在作者macro的“view_5.1_connection_server的SSL配置“的文档基础上改编。其主要核心部分还是

macro的，我主要是根据自己实践后的结果，对部分步骤加以补充。使实施者能够最方便的看懂此文档。同时在此感谢macro.

**************注意问题*****************************

CA本身是区分大小写的。

**CA可以配置基于主机名、完整FQDN名、IP地址进行证书分配，但最好是在前期规划的服务器域名要和公网要分配的主机名一致，同时在连接服务器IE配置页面—服务器配置要使用完整的FQDN名称。否则会出现使用VIEW client 连接时正常，但是进入connection连接服务器配置页面会发现安全服务器还是处于不可信任状态。

安全服务器一般部署到DMZ区域，所以不能将安全服务器加入到域中，要想成功安装安全服务器的SSL证书，则首先要保证安全服务器本身安装了CA的根证书。

*******CONNECTION Security server DNS必须将两个网卡的DNS设置成AD的地址。否则可能出现解析域名的问题。

配置环境:

Connection server ->windows server 2008r2 entripse

微软企业根CA ->windows server 2008r2 entripse

CA服务器要求：

1. IIS

2. Certification Authority(证书颁发机构单位)

3. Certification Authority Web Enrollment(证书颁发机构单位Web 注册)

如下图：

connection server, CA搭建就不表了

**Keytool路径在view server安装目录下/jr/bin（一般直接将此目录填入PATH变量中），如下图：

**建议证书的路径放在同一目录操作

注意一下操作都是基于以下目录操作：

1.在server上用keytool生成pkcs12密钥文件

keytool -genkey -keyalg "RSA" -keystore keys.p12 -storetype pkcs12 -validity 360

keytool来创建CSR

keytool -certreq -keyalg "RSA" -file certificate.csr -keystore keys.p12 -storetype pkcs12 –storepass 123@abc

用记事本打开certificate.csr

2.发送到CA申请WEB服务器证书

用记事本打开certificate.csr,如上图

然后用浏览器打开CA地址一般是https;//CA IP地址/certsrv

申请证书

高级证书申请

使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请

下载证书 (使用Base64编码)

下载回来的证书

3.将申请好的证书转换为PKCS#12格式

双击上个步骤中下载的证书

点击详细信息复制到文件

导出为PKCS#7格式,包含证书路径中所有的证书

导出文件名为certnew.p7b

4.导入签名证书到密钥文件

keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass 密码-keyalg "RSA" -trustcacerts -file 刚才导出的文件

然后出现... 是不可信的。还是要安装回复？ [否]：的提示输入y 回车

5.在View server安装路径\sslgateway\conf下建立locked.properties 文件中

内容如下

keyfile=keys.p12

keypass=密码

storetype=pkcs12

6.把keys.p12导入到本地计算机证书

开始-运行-MMC-添加/删除管理单元

添加证书–选择计算机帐户—本地计算机

导入keys.p12

一定要勾选”标志此密钥为可导出的密钥”

7.修改证书友好名称,导入根CA信任

下图第一个证书是根CA信任证书,第二个是通过CA申请到的SSL证书,第三个是view 自签名证书

首先把根CA拖拉到受信任的根证书颁发机构

view自签名证书的友好名称为vdm, 把他改为其他名字

通过CA申请到的SSL证书的友好名称改为vdm

8.重启connection server服务器或服务

Net stop wsbroker

Net start wsbroker

9.测试

443端口起来了

访问view connection server控制台查看是否正常