CA證書是HTTPS協議下對網絡安全提升的一個工具,如果你購買了公網證書的話只需要看證書配置的內容即可,如果你沒買證書則需要自己在服務器去進行證書的申請和配置。
下面開始CA證書的申請和配置
准備工作:確保申請CA證書的服務器加入到域
打開服務器管理器
添加功能和角色向導,勾選Active Directory證書服務,下一步
默認下一步
默認下一步
選擇服務器角色服務勾選"證書頒發機構","證書頒發機構Web注冊"之后會提示安裝IIS,點擊添加后,下一步
默認下一步
勾上基於"身份驗證"下一步
勾選如果需要自動重啟服務器,點擊安裝
等待安裝完成
安裝完成后開始設置CA服務器,點擊上方小旗子找到AD證書配置服務
默認下一步,
勾選:證書頒發機構和證書頒發機構Web注冊
這里勾選企業,下一步(如果只是本服務器使用可以勾選獨立,不建議)
選擇根CA(R)
默認,下一步
如果有特殊的需求可以選擇對應的加密方式,這里默認下一步
如果有需要可以自行修改,這里默認,下一步
這里也可以設定證書的使用年限,這里默認下一步
默認,下一步
默認,配置
CA證書服務器安裝完成
證書配置
證書有三種類型:
通配符證書(wildcard certificate,推薦):一個通配符證書滿足單個域(domain)里內部和外部訪問的需求。例如,*.contoso.com證書支持外部訪問(org1.contoso.com和org2.contoso.com)和內部訪問(internalcrm.contoso.com)。
Subject Alternative Name(SAN)證書:如果你希望使用與外部訪問地址不同的地址來進行內部訪問,那么你可以使用SAN證書。
自簽名證書(Self-signed certificate):自簽名證書僅僅在測試時推薦使用。如果你使用自簽名證書,它必須導入所有CRM 服務器以及所有訪問CRM 的客戶端上的Trusted Root Certification Authorities store
這里我們使用通配符證書
申請證書准備:
1、安裝好申請證書的服務器
2、服務器安裝好IIS
打開IIS界面,點擊服務器后服務器,選擇服務器證書
選擇創建證書申請
填寫證書信息,證書的通配域名以及組織名等等,填好后下一步
選擇加密長度,這里選擇2048(在證書的配置信任方時如果數值太小會警告安全性低)
點擊…,輸入證書名稱(記住創建好申請的路徑,下面會用到)
點完成后證書申請就已經創建好了
找到剛剛產生的證書申請TXT文件,復制上面的內容
之后移步到證書申請服務器,打開瀏覽器,並在瀏覽器中輸入 http://機器名 + /certsrv,輸入服務器用戶名密碼后進入下面界面
點擊申請證書
點擊高級證書申請
選擇下面的那個長長的鏈接
把剛剛復制的一長串東東黏貼到下面的多行編輯框,選擇模板WEB服務器,點擊提交后就會產生出對應的證書
點擊下載證書
另存一個名字后保存證書,記住證書存放的路徑,之后會用到
把下載好的證書拷貝到申請證書的服務器,之后在IIS證書界面點擊完成證書申請,導入拷貝過來的證書,起一個名字后點確定,證書就完成了申請。
為CRM服務器的應用程序池配置證書的訪問權限,CRM打開命令提示符
輸入MMC,回車
打開控制台
點擊文件,添加/刪除管理單元
找到證書,點添加
選擇本地計算機,下一步
默認完成
點確定
證書就被加到控制台根節點下面,依次找到個人,證書就可以看到我們申請的證書
右鍵證書后,選擇所有任務,選擇管理私鑰
添加一個Network Service的用戶
加好用戶后,依次點擊應用,確定
證書的授權至此完成