View_5.2安全服务器和连接服务器的SSL配置------精讲.doc

View 5.2 连接服务器和安全服务器的SSL配置 作者:macro 宋晓东（修改） Email:macro@ songxiaodong@ 日期:2012.6.5 2014.02.10 目录 配置环境: 2 1.在server上用keytool生成pkcs12密钥文件 2 2.发送到CA申请WEB服务器证书 3 3.将申请好的证书转换为PKCS#12格式 5 4.导入签名证书到密钥文件 8 5.在View server安装路径\sslgateway\conf下建立perties 文件中 9 6.把keys.p12导入到本地计算机证书 9 7.修改证书友好名称,导入根CA信任 13 8.重启connection server服务器或服务 14 9.测试 14 10.关于为什么一定要勾选”标志此米要为可导出的密钥”!!!!! 15 此文是在作者macro的“view_5.1_connection_server的SSL配置“的文档基础上改编。其主要核心部分还是macro的，我主要是根据自己实践后的结果，对部分步骤加以补充。使实施者能够最方便的看懂此文档。同时在此感谢macro. **************注意问题***************************** CA本身是区分大小写的。 **CA可以配置基于主机名、完整FQDN名、IP地址进行证书分配，但最好是在前期规划的服务器域名要和公网要分配的主机名一致，同时在连接服务器IE配置页面—服务器配置要使用完整的FQDN名称。否则会出现使用VIEW client 连接时正常，但是进入connection连接服务器配置页面会发现安全服务器还是处于不可信任状态。 安全服务器一般部署到DMZ区域，所以不能将安全服务器加入到域中，要想成功安装安全服务器的SSL证书，则首先要保证安全服务器本身安装了CA的根证书。 *******CONNECTION Security server DNS必须将两个网卡的DNS设置成AD的地址。否则可能出现解析域名的问题。 配置环境: Connection server -windows server 2008r2 entripse 微软企业根CA -windows server 2008r2 entripse CA服务器要求： 1. IIS 2. Certification Authority(证书颁发机构单位) 3. Certification Authority Web Enrollment(证书颁发机构单位Web 注册) 如下图： connection server, CA搭建就不表了 **Keytool路径在view server安装目录下/jr/bin（一般直接将此目录填入PATH变量中），如下图： **建议证书的路径放在同一目录操作 注意一下操作都是基于以下目录操作： 1.在server上用keytool生成pkcs12密钥文件 keytool -genkey -keyalg RSA -keystore keys.p12 -storetype pkcs12 -validity 360 keytool来创建CSR keytool -certreq -keyalg RSA -file certificate.csr -keystore keys.p12 -storetype pkcs12 –storepass 123@abc 用记事本打开certificate.csr 2.发送到CA申请WEB服务器证书 用记事本打开certificate.csr,如上图 然后用浏览器打开CA地址 一般是https;//CA IP地址/certsrv 申请证书 高级证书申请 使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请 下载证书 (使用Base64编码) 下载回来的证书 3.将申请好的证书转换为PKCS#12格式 双击上个步骤中下载的证书 点击详细信息(复制到文件 导出为PKCS#7格式,包含证书路径中所有的证书 导出文件名为certnew.p7b 4.导入签名证书到密钥文件 keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass 密码 -keyalg RSA -trustcacerts -file 刚才导出的文件 然后出现... 是不可信的。 还是要安装回复？ [否]：的提示 输入y 回车 5.在View server安装路径\sslgateway\conf下建立perties 文件中 内容如下 keyfile=keys.p12 keypass=密码