Windows Server 2012证书新功能

证书对于保护系统安全是很重要的，利用证书服务，可以在客户端和服务器通讯时，对传输的数据进行加密，来保证其安全性，防止黑客非法拦截和嗅探。在Windows Server 2012中，针对证书提供了一些新功能。例如，所有的证书角色在任意版本的Windows Server 2012中都能够支持，包括Windows Server Core模式在内。对于证书服务来说，使用者颁发的证书如果需要续约的话，对于工作组的计算机来说，可以使用相同的密钥进行续约。这里就以证书申请加密和集中式SSL支持为例，进行相关的介绍。

使用证书申请加密功能

在Windows Server 2008 R2中已经提供了证书申请加密功能，但是默认情况下并未启用。在Windows Server 2012中，已经默认启用了该功能。当启用了该功能后，可以看到当Windows XP等老系统的主机在申请证书时，是无法成功的。例如，在域环境中，在域控制器上安装的是Windows Server 2012，首先需要将其配置成证书服务器。在服务器管理器中点击菜单“管理→添加角色和功能”项，在向导界面中依次点击“下一步”按钮，在“角色”列表中选择“Active Directory证书服务”项，以后依次点击“下一步”按钮，在“角色服务”列表中选择“证书颁发机构”项，之后执行该角色的安装操作。

当安装完毕后，点击“配置目标服务器上的Active Directory证书服务”链接，在配置界面（如图1）中点击“下一步”按钮，在“选择要配置的角色服务”列表中选择“证书颁发机构”项，在“下一步”窗口中选择“企业CA”项，在指定CA类型界面中选择“根CA”项。在下一步窗口中选择“创建新的私钥”项，对于加密选项保持默认即可。在“指定CA名称”界面中可以设置该CA的公用名称，可分辨名称后缀、预览可分辨名称等参数。之后的设置均保持默认。点击“配置”按钮，完成所需的配置操作。

当安装好了活动目录的证书角色后，该控制器才可以为客户端提供证书服务。

点击“Win+R”键，执行“mmc”命令，在控制台界面中点击菜单“文件→添加/删除管理单元”项，在弹出窗口左侧列表中选择“证书”项，点击“添加”按钮，在证书管理单元窗口中选择“计算机账户”项，点击“确认”按钮。

在控制台左侧选择“证书→个人→证书”项，在证书的右键菜单中点击“所有任务→导出”项，在导出向导窗口（如图2）中点击“下一步”按钮，在“导出私钥”窗口中选择“不，不要导出私钥”项，点击“下一步”按钮。在“文件名”栏中点击“浏览”按钮，设置导出文件名称。点击“完成”按钮，执行证书导出操作。之后将导出的证书文件复制到客户端中。

图1 证书配置向导界面

图2 证书导出界面

例如，在Windows XP等老系统中按照上述步骤，打开控制台，添加证书管理单元，在控制台左侧点击“证书→受信任的根证书颁发机构→证书”项，在右键菜单上点击“所有任务→导入”项，在向导中的“要导入的文件”窗口中点击“浏览”按钮，选择上述证书文件。在“证书存储”窗口中选择“将所有证书放入下列存储区”项，在下一步窗口中点击“完成”按钮，完成证书导入操作。这样，客户端就可以信任根证书的颁发机构。

在左侧选择“证书→个人→证书”项，在右键菜单中点击“所有任务→申请新证书”项，在向导中的证书类别中选择“计算机”项，在下一窗口中设置易于记忆的证书名称和描述信息。

点击“完成”，系统弹出“证书申请失败，此证书颁发机构的权限不允许当前用户注册证书”的警告信息。这是因为在默认情况下，Windows Server 2012的证书颁发机构要求客户端提供的证书申请是加密的，但是Windows XP等老系统在申请证书时并未加密，才导致出现上述问题。为了解决该问题，可以在Windows Server 2012中打开cmd窗口，执行“certutil –setreg CAInterfaceFlags –IF_ENFORCEENCRYPTICERTREQUEST”命令，将安全界别进行更改，之 后 执 行“net stop certsvc” 和“net start certsvc”命令，重启证书服务。之后在Windows XP中就可以按照上述方法，顺利申请证书了。

使用集中式SSL支持功能

在Windows Server 2012中的IIS 8.0组件中，提供了集中式SSL支持功能，可以更好地绑定证书。例如，在域环境中，存在两台IIS服务器，用来实现Web负载均衡。首先在域控制器上执行初始化的配置，在DNS管理器中左侧点击“DNS→DC→正向查找区域→具体的域名”项，在其中可以查看两台IIS服务器的记录信息。例如，可以将其配置为IIS允许的负载均衡，在右键菜单中点击“新建主机（A或 AAAA）”项，在新建主机窗口中输入其名称、IP地址等信息，点击“添加主机”按钮，完成添加操作。同理，为两台IIS主机分别添加主机记录。

在应用界面中点击“证书颁发机构”程序项，在弹出窗口左侧选择“证书颁发机构→XXX-DC-CA-1→证书模板”项，其中的“XXX”表示具体的域名。在右侧窗口的右键菜单上点击“管理”项，在证书模板窗口（如图3）中显示所有的证书项目，选择“Web 服务器”项，在右键菜单上点击“复制模板”项，在属性窗口“兼容性”面板中的“证书颁发机构”列表中选择“Windows Server2012”项，在“证书接收人”列表中选 择“Windows 8/Windows Server 2012”项，在“请求处理”面板中选择“允许导出私钥”项，在“使用者名称”面板中选择“在请求中提供”项，在“安全”面板中选择“Authenticated Users”项，并选择允许注册权限。点击“应用”按钮，激活配置信息。

图3 证书模板管理窗口

在证书颁发机构窗口右侧的右键菜单中选择“新建→要颁发的证书模板”项，在启用证书模板窗口中选择“Web服务器的副本”项，即上述新建的证书模板。完成准备工作后，就可以为IIS服务器颁发证书了。

按照常规的方法，需要在IIS服务器中打开控制台界面，添加证书管理单元，在左侧选择“证书→个人→证书”项，在右侧窗口的右键菜单中点击“所有任务→申请新证书”项，在向导界面中点击“下一步”按钮，在选择证书注册策略窗口中选择“Active Directory 注册策略”项，在下一步窗口中选择“Web服务器 的副本”项，点击其右侧的“详细信息”项，在弹出面板中点击“属性”按钮，打开证书属性窗口，在其中可以配置相关的参数。

例如，在“使用者”面板中的“使用者名称”栏中的“类型”列表中选择“公用名”项，在“值”栏中输入具体的内容，这里为了简单起见，输入“www.xxx.com”之类的域名。点击“添加”按钮，完成添加操作。

在“私钥”面板中打开“密钥选项”项，在其中选择“使私钥可以导出”项，点击“确认”按钮，在证书注册窗口中点击“注册”按钮，完成注册操作。之后在证书列表中选择申请到的证书，在右键菜单上点击“所有任务→导出”项，在向导界面中选择“是，导出私钥”项。点击“下一步”。在安全窗口中选择“密码”，设置所需的密码，在下一步窗口中设置证书的存储路径，点击“完成”，得到所需的证书文件（后缀为“.pfx”）。

将该证书文件复制带另外一台IIS服务器上，打开控制台窗口，添加证书管理单元，完成证书的导入操作，方法是，先选择证书文件，并输入私钥密码，完成导入操作。在两台服务器上准备好证书之后，就可以为IIS绑定证书了。例如，在两台IIS服务器上分别打开IIS管理器，在左侧选择Web站点，在中部点击“SSL设置”项，在右侧点击“绑定”链接，在绑定窗口（如图4）中点击“添加”按钮，在添加网站绑定窗口中在“类型”列表中选择“https”项，在“SSL证书”列表中选择对应的证书，点击“确定”，完成证书的绑定。这样，当客户机和Web服务器通讯时，就会实现加密功能。

但是，上述方法实现起来比较复杂，如果增加IIS服务器的话，就需要重复以上操作。如果证书发生变动的话，所有的相关服务器都需要重新配置，其工作量是比较大的。Windows Server 2012提供的集中式SSL证书管理，可以很好地解决上述问题。例如，在域控制器上创建一个文件夹（例如“zhengshugx”），用来存储证书文件。打开文件共享窗口，在用户列表中选 择“Everyone”，点 击“添加”按钮，将其添加到共享列表中。选择“Everyone”项，为其添加“读取/写入”权限。当然，这里只是用来演示的。在实际的操作环境中，不建议这样做。

图4 为网站绑定证书

图5 添加集中式SSL证书角色

之后将上述导出的证书文件复制到该文件夹中，并将其名称修改为客户端访问的名称，例如“www.xxx.com.pfx”。在两台IIS服务器上分别打开服务器管理器，点击“添加角色和功能”项在，在向导界面（如图5）中依次点击下一步按钮，在角色列表中打开“Web服务器（已安装）”项在，在其下选择“安全性→集中式SSL证书支持”项，在下一步窗口中点击安装按钮，安装所需的功能项目。

当启用了SSL集中式管理后，在每一台IIS服务器上打开IIS管理器，在左侧选择根节点（即服务器名称项），在中部的“管理”栏中双击“集中式证书”项，在集中式证书界面右侧点击“编辑功能设置”链接，在弹出窗口中选择“启用集中式证书”项，在“物理路径”栏中点击浏览按钮，选择上述证书文件夹路径，输入用于连接的用户名和密码信息，在“证书私钥密码”栏中输入证书私钥密码。点击“确定”完成证书的导入操作。

之后，选择对应的网站，按照上述方法打开证书绑定窗口，在“SSL证书”列表中选择对应的证书即可。这样，当添加更多的服务器后，也可以按照上述方法，启用SSL证书管理功能，提高绑定的效率。