1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows server >> windows server 2008 >>

Vi presenterer Vista og Windows Server 2008 Advanced Certificate Request Wizard

Av alle de problemene som står overfor Microsoft sikkerhet og bedriftsadministrator i dag, en av de vanskeligste å forstå og håndtere er at av en Public Key Infrastructure. Det virker som når som helst gjenstand for sertifikater kommer opp i en distribusjonsplan, er det bundet til å være litt forvirring om hvilken type sertifikat som kreves, hvilken informasjon som må inkluderes i sertifikatet, og hvordan sertifikatet skal installeres. Dessverre gjør Windows Server 2008 ikke gjøre denne oppgaven enklere, og faktisk gjør ork å skaffe en datamaskin sertifikat hardere enn noensinne på grunn av endringer i Web påmelding nettstedet.

Men hvis du er interessert i sertifikater og genererer sertifikat forespørsler. Og hvis du er interessert i å få finkornet kontroll over forespørselen sertifikat samt å være i stand til å bruke sertifikat maler, så vil du være veldig fornøyd med den nye Advanced Certificate Request Wizard tilgjengelig med Windows Server 2008 og Windows Vista sertifikater MMCs. Disse nye veivisere gjør at du kan kontrollere nesten alle aspekter forespørselen sertifikat med et enkelt pek og klikk-grensesnitt.

Den nye veiviseren gir en løsning på et vanlig scenario hvor du trenger å be om sertifikater for ikke-domenemedlem maskiner. Dette er ikke et problem for domenet medlems maskiner, fordi når en maskin er domene sluttet, kan det lett be en datamaskin sertifikat fra en online CA. Et annet alternativ for domene sluttet maskiner er å konfigurere dem til å bruke autoenrollment for å få en datamaskin sertifikat. Men, ikke-domene maskiner ikke har denne muligheten.

I tidligere versjoner av nett påmelding nettstedet, kan du lett få en datamaskin sertifikat for ikke-domene maskiner ved hjelp av Computer mal. Med Windows Server 2008-versjonen av Web påmelding området, er dette alternativet tatt bort for Windows Vista og Windows Server 2008 maskiner. Derfor trenger vi en alternativ metode for å be om en datamaskin sertifikat fra CA Web påmelding nettstedet.

Det er her de nye sertifikater snap-in Avanserte operasjoner alternativet kommer i. Ved hjelp av den nye sertifikatforespørselen veiviseren som følger med Windows Server 2008 eller Windows Vista, kan du enkelt lage en tekstfil basert på installerte maler som vil tillate deg å lage nesten alle slags sertifikat du vil. Ikke bare det, men du har finjustert kontroll over konfigurasjonen av sertifikatet, slik at du kan utvide konfigurasjonen forbi hva en bestemt mal tilbyr deg.

Figuren nedenfor viser hvordan du får tilgang til nye sertifikat forespørsel veiviseren. I dette eksempelet jeg opprettet en Sertifikater MMC på en Windows Server 2008-domenekontroller som har en frittstående CA installeres på den. I Sertifikater konsollen, høyreklikker du på Sertifikater
butikken i noen av noden, pek på Alle oppgaver
og peker på Avansert Operations
. Klikk deretter på Opprett tilpassede forespørsel
. Dette vil tillate deg å lage en tekstfil som du kan sende til Web påmelding området for å få sertifikatet.


Figur 1

sertifikatveiviseren starter med Før du begynner
side. Klikk Neste
på denne siden.


Figur 2

Custom forespørsel
side, har du alternativer å velge sertifikatet Mal Hotell som du vil bruke, og forespørselen om formatering type.


Figur 3

Når du klikker på pil ned for Mal
nedtrekkslisten, vil du se en liste over maler tilgjengelig som kan brukes til å automatisk konfigurere sertifikatet. Legg merke til at etter å ha valgt malen, har du fortsatt muligheten til å tilpasse innstillingene. I dette eksemplet skal vi velge Computer
sertifikat.


Figur 4

Sertifikatinformasjon
side, kan du se Key bruk
, Applikasjons politikk Hotell og Validitetsperiode
for sertifikatet som vil bli generert. Men kanskje vi ønsker å tilpasse noen aspekter av dette sertifikatet. Vi kan gjøre dette ved å klikke på Egenskaper
knappen.


Figur 5

Dette bringer opp Sertifikat Egenskaper
dialogboksen. I kategorien Generelt
, har du muligheter til å skape et vennlig navn som du kan bruke til å identifisere formålet med sertifikat, og også en valgfri beskrivelse. I dette eksemplet vil vi avslutte en Vennlig navn
av ComputerCert
.


Figur 6

Subject
kategorien, har du muligheten til å tildele en nettverksnavn til sertifikatet. Gjenstand for et sertifikat er en bruker eller datamaskin (som i dette tilfellet for maskinsertifikatet vi ber om) som sertifikatet er utstedt. Dette navnet brukes til å identifisere brukeren eller maskinen til en datamaskin eller applikasjoner som ber om denne informasjonen. I dette eksempelet vil vi legge inn et felles navn på nyc-cl1.woodgrovebank.com
i Verdi
tekstboksen som sitter inntil Subject navn
delen. Klikk deretter på Legg Hotell og det vises i høyre side. Vi vil også oppgi samme navn for Alternativt navn Hotell og angi DNS-navnet, som er cl1.woodgrovebank.com
.

Note i et produksjonsmiljø som du sannsynligvis vil bruke et annet navn for faget alternativt navn. Enkelte servere, for eksempel Exchange 2007 og Office Communications Server 2007 benytter seg av lagt alternative navn som finnes i installerte sertifikater.


Figur 7

Du har mange alternativer på Extensions
kategorien. Det første alternativet Key bruk
. Legg merke til at malen allerede har valgt Digital signatur Hotell og Nøkkelchiffrering
alternativer til deg. Men hvis du vil velge flere viktige brukerinnstillinger, har du den muligheten her.


Figur 8

I Utvidet bruk av nøkkel ( applikasjons politikk)
delen kan du se at malen har valgt Server Authentication Kjøpe og klientautentifikasjon
alternativer for deg. Igjen, hvis du ønsker å aktivere tilleggs Utvidet bruk av nøkkel alternativer, kan du velge dem fra Tilgjengelige alternativer
listen.


Figur 9

Grunnleggende begrensninger
alternativet lar deg aktivere enkel begrensninger forlengelse. Dette er ikke konfigurert fordi malen ikke har dette alternativet aktivert.


Figur 10

I Inkluder Symmetric algoritme
delen, du kan aktivere denne utvidelsen som gir informasjon om systemegenskaper av sertifikater utstedt av denne malen. Igjen, ikke malen ikke aktivere dette alternativet, men du kan hvis du trenger det.


Figur 11

I Custom forlengelse definisjon
delen kan du legge inn dine egne objektidentifikatorer og verdier. Dette er nyttig hvis du har et program eller en gateway som forventer å motta visse OIDer og filtre autentisering tilgang ved hjelp av det bestemte OID. Computer Certificate malen bruker ikke noen tilpassede OIDer, så ingen er angitt her.


Figur 12

Private Key
kategorien kan du konfigurere ulike aspekter av den private nøkkelen. I Cryptographic Serviceprogrammer (CSP)
delen kan du velge CSP av ditt valg hvis malen du velger støtter at CSP. I dette eksempelet bruker datamaskinen Sertifikater mal, er bare Microsoft RSA SChannel Cryptographic Provider (Encryption)
alternativet tilgjengelig. Hvis du setter en markering i Vis alle CSPs
sjekkheftet. Du kan se at i dette tilfellet, resten av CSPs er ikke gyldige for dette sertifikatet malen.


Figur 13

I Key alternativer
delen kan du velge Key størrelse
. I tillegg kan du aktivere eller deaktivere Gjør private nøkkelen eksporteres
, Tillat private nøkkelen som skal arkiveres Hotell og sterk privatnøkkelbeskyttelse
alternativer. Gjør private nøkkelen eksportvare
alternativet er ikke aktivert som malen, men jeg aktivert det i dette eksempelet fordi jeg ønsker den private nøkkelen til å kunne eksporteres.


Figur 14

Nøkkeltype
delen definerer de tillatte bruksområder for en privat nøkkel assosiert med sertifikatet. Computer Mal velges automatisk Exchange
alternativet, som er det du vil når den tiltenkte bruk for sertifikatet er klient og servergodkjenning.


Figur 15 Anmeldelser

I Nøkkel tillatelser
delen kan du angi hvem som har tilgang til den private nøkkelen. Jeg vil gjerne fortelle deg hva hensikten med dette alternativet er, men det er ingen dokumentasjon på dette alternativet, og jeg kan ikke tenke meg et scenario der jeg ønsker å aktivere dette alternativet.


Figur 16

Når du har gjort ditt valg, kan du se Key bruk
, Applikasjons politikk Hotell og Gyldighet
periode . Jeg må anta at Validitetsperiode
bestemmes av malen, siden det ikke er noe alternativ som tillater bruk for å bekrefte gyldighetsperiode.


Figur 17

Det neste steget er å gi sertifikatforespørsel tekstfil et navn. I dette eksempelet vil jeg nevne det c: \\ NYC-CL1-CERT
. Jeg vil også lagre det som en Base 64
kodet tekstfil, som Windows Server 2008 Certificate Server vil godta.


Figur 18

Etter å lagre filen, åpne den opp i notepad. Merk all teksten i filen ved hjelp av Velg alle
alternativ fra Rediger
menyen. Klikk deretter på Kopier
fra Rediger
menyen for å kopiere denne informasjonen til utklippstavlen. Vi vil lime inn denne informasjonen inn i Web påmelding nettstedet skjema for å få sertifikatet.


Figur 19

I dette eksemplet vi bruker et frittstående CA . Hvorfor? Fordi hvis vi brukte en bedrift CA, vil vi bli tvunget til å bruke et sertifikat mal. Vi ønsker ikke å bruke et sertifikat mal på CA, fordi vi allerede har opprettet en forespørsel ved hjelp av et sertifikat mal som vi ønsket å bruke. Hvis du bruker et foretak CA og lagt din forespørsel ved hjelp av én av de tilgjengelige sertifikatmaler, vil innstillingene på CA sertifikat mal erstatte innstillingene vi konfigurert i sertifikatet forespørsel veiviseren, som er noe vi ikke ønsker.

Hvis du vil koble til det frittstående CA Web påmelding nettsted, skriv http: //server /certsrv
. Som tar deg til Velkommen siden. På Velkommen siden, klikk på Be om et sertifikat
link.


Figur 20

På < B> Be om et sertifikat
side, klikker du på avansert forespørsel
sertifikat link.


Figur 21

Advanced Certificate Request
siden, klikk på Send en sertifikatforespørsel ved å bruke en base-64-kodet CMC eller PKCS # 10-filen, eller send en forespørsel om fornyelse ved å bruke en base-64-kodet PKCS # 7 fil
link.


Figur 22

Send en sertifikatforespørsel eller Renewal Request
side, lime inn innholdet i sertifikat forespørsel fil i Lagret Request
tekstboksen. Legg merke til at du ikke blir tvunget til å bruke et sertifikat mal. I kontrast, hvis dette hadde vært en bedrift CA, du ville ha blitt tvunget til å bruke et sertifikat mal, og du ville ha tapt de innstillingene du hadde opprinnelig konfigurerte når du bruker veiviseren for sertifikatforespørsel. Klikk på Send
.


Figur 23

Sertifikat Venter
side, vil du se at det Forespørselen er tildelt en Request Id. Legg merke til at sertifikatet ikke er umiddelbart utstedt. Dette er standardinnstillingen for frittstående instanser. Med frittstående instanser, har forespørselen sertifikat for å være godkjent før sertifikatet er utstedt. I kontrast med en bedrift CA, sertifikatet umiddelbart utstedt.


Figur 24

Nå la oss gå tilbake til hjemmesiden for Web innmelding nettstedet. Klikk på Vis status for en ventende forespørsel
sertifikat link.


Figur 25

Vis status for en Pending Certificate Request
siden kan du se en link for den lagrede forespørsel sertifikat. Klikk denne linken.


Figur 26

Dette tar deg til Sertifikat Venter
siden, ser du at din forespørsel sertifikatet er fortsatt i påvente av. For å fikse dette, må vi gå til Certificate Authority
konsollen og utstede sertifikat.


Figur 27

I < B> Certification Authority
konsoll, utvide navnet på CA og klikk på ventende forespørsler
node i den venstre delen av konsollen. I den høyre ruten i konsollen vil du se listen over sertifikatforespørsler for sine Request ID
s. Vår anmodning sertifikat hadde en Request-ID på 3, så vi høyreklikk på det, pek på Alle oppgaver Hotell og klikk Issue
.


Figur 28

Nå som sertifikatet er utstedt, kan du hente den ved hjelp av Web påmelding nettstedet. Gå tilbake til Web påmelding nettstedet hjemmesiden og klikk på Vis status for en ventende forespørsel
sertifikat link.


Figur 29

Vis status for en Pending Certificate Request
siden, klikk på Lagre-Request
link.


Figur 30

Sertifikat utstedt
side, har du valget mellom å laste ned sertifikatet som enten en DER kodet
eller Base 64 kodet
fil. Generelt, spiller det ingen rolle hvilken filtype du velger. Når du klikker på Last ned sertifikat
link, får du bare datamaskinen sertifikat med det private nøkkel. Hvis du velger Last ned sertifikatkjede
link, får du maskinsertifikatet med sin private nøkkel, og du får CA-sertifikater fra alle instanser i sertifikatkjeden. Denne koblingen er nyttig hvis du installerer datamaskinen sertifikat på en ikke-domenemedlem, siden du trenger CA-sertifikatet installert i maskinen Klarerte rotsertifiseringsinstanser
maskin sertifikatlageret slik at maskinen vil stole datamaskinen


Figur 31

I dette eksemplet vil vi bare laste ned sertifikatet slik at vi kan ta en titt på den. > Klikk på Lagre
i Nedlasting av filer
dialogboksen.


Figur 32

Jeg skal lagre sertifikat til skrivebordet mitt.


Figur 33

Dobbelklikk på sertifikatet. I kategorien Generelt
kan du se at sertifikatet ble utstedt til det vanlige navnet vi konfigurert sertifikatet som skal brukes.


Figur 34
< P> Klikk på kategorien detaljer
. Her kan du se alle alternativene som ble konfigurert i sertifikatet forespørsel veiviseren.


Figur 35

Sammendrag

I denne artikkelen tok vi en titt på den nye avanserte sertifikat forespørsel veiviser som følger med Windows Server 2008 og Windows Vista. Denne nye veiviseren tillater oss å lage et sertifikat forespørsel tekstfil som vi kan sende til en CA som kan utstede oss et sertifikat. Sertifikater MMC sertifikatforespørsel veiviseren gjør det mulig å bruke innebygde sertifikat maler når du kjører veiviseren fra en sertifiseringsinstans datamaskin. I tillegg kan du få finkornet kontroll over mange av innstillingene i sertifikatet ditt ved hjelp av egendefinerbare alternativer. Det nye sertifikatet forespørsel veiviseren er svært nyttig i en Vista og Windows Server 2008 miljø, hvor det er ingen mulighet til å gjøre en online forespørsel om en datamaskin sertifikat lenger. Anmeldelser