View_5.2安全服务器和连接服务器的SSL配置------精讲.docVIP

View 5.2 连接服务器和安全服务器的 SSL配置 作者 :macro Email:macro@ 日期 :2012.6.5 宋晓东（修改） songxiaodong@ 2014.02.10 目录 配置环境 : 2 1.在 server 上用 keytool 生成 pkcs12 密钥文件 4 2.发送到 CA 申请 WEB服务器证书 5 3.将申请好的证书转换为 PKCS#12格式 7 4.导入签名证书到密钥文件 10 5.在 View server 安装路径 \sslgateway\conf 下建立 perties 文件中 10 6.把 keys.p12 导入到本地计算机证书 11 7.修改证书友好名称 ,导入根 CA 信任 14 8.重启 connection server 服务器或服务 15 9.测试 15 10.关于为什么一定要勾选 ”标志此米要为可导出的密钥 ” !!!!! 16 此文是在作者 macro 的“ view_5.1_connection_server 的 SSL配置“的文档基础上改编。其主要核心部分还是 macro 的，我主要是根据自己实践后的结果，对部分步骤加以补充。使实施者能够最方便的看懂此文档。同时在此感谢 macro. ************** 注意问题 ***************************** CA本身是区分大小写的。 **CA 可以配置基于主机名、完整 FQDN名、 IP 地址进行证书分配，但最好是在前期规 划的服务器域名要和公网要分配的主机名一致，同时在连接服务器  IE  配置页面—服务 器配置要使用完整的  FQDN名称。否则会出现使用  VIEWclient  连接时正常，但是进入 connection 连接服务器配置页面会发现安全服务器还是处于不可信任状态。 安全服务器一般部署到 DMZ区域，所以不能将安全服务器加入到域中，要想成功安装 安全服务器的 SSL证书，则首先要保证安全服务器本身安装了 CA的根证书。 *******CONNECTION Security server DNS必须将两个网卡的 DNS设置成 AD 的地址。否 则可能出现解析域名的问题。 配置环境 : Connection server -windows server 2008r2 entripse 微软企业根 CA -windows server 2008r2 entripse CA 服务器要求： 1. IIS 2. Certification Authority( 证书颁发机构单位 ) 3. Certification Authority Web Enrollment(证书颁发机构单位 Web 注册 ) 如下图： connection server, CA  搭建就不表了 **Keytool  路径在  view server  安装目录下  /jr/bin  （一般直接将此目录填入  PATH变量 中），如下图： 建议证书的路径放在同一目录操作注意一下操作都是基于以下目录操作： 1.在 server 上用 keytool 生成 pkcs12密钥文件 keytool -genkey -keyalg RSA -keystore keys.p12 -storetype pkcs12 -validity 360 keytool 来创建 CSR keytool -certreq -keyalg RSA -file certificate.csr -keystore keys.p12 -storetype pkcs12 –storepass 123@abc 用记事本打开 certificate.csr 2.发送到 CA申请 WEB服务器证书 用记事本打开  certificate.csr,  如上图 然后用浏览器打开  CA地址 一般是  https;//CA IP  地址 /certsrv 申请证书 高级证书申请 使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请 下载证书 ( 使用 Base64编码 ) 下载回来的证书 3.将申请好的证书转换为 PKCS#12格式 双击上个步骤中下载的证书 点击详细信息 复制到文件 导出为 PKCS#7格式 , 包含证书路径中所有的证书 导出文件名为 certnew.p7b 4.导入签名证书到密钥文件 keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass  密码 -keyalg RSA -trustcacerts -file