CA憑證是HTTPS協定下對網絡安全提升的一個工具,如果你購買了公網證書的話隻需要看證書配置的内容即可,如果你沒買證書則需要自己在伺服器去進行證書的申請和配置。
下面開始CA憑證的申請和配置
準備工作:確定申請CA憑證的伺服器加入到域
打開伺服器管理器
添加功能和角色向導,勾選Active Directory證書服務,下一步
預設下一步
選擇伺服器角色服務勾選"證書頒發機構","證書頒發機構Web注冊"之後會提示安裝IIS,點選添加後,下一步
勾上基于"身份驗證"下一步
勾選如果需要自動重新開機伺服器,點選安裝
等待安裝完成
安裝完成後開始設定CA伺服器,點選上方小旗子找到AD證書配置服務
預設下一步,
勾選:證書頒發機構和證書頒發機構Web注冊
這裡勾選企業,下一步(如果隻是本伺服器使用可以勾選獨立,不建議)
選擇根CA(R)
預設,下一步
如果有特殊的需求可以選擇對應的加密方式,這裡預設下一步
如果有需要可以自行修改,這裡預設,下一步
這裡也可以設定證書的使用年限,這裡預設下一步
預設,配置
CA憑證伺服器安裝完成
證書配置
證書有三種類型:
通配符證書(wildcard certificate,推薦):一個通配符證書滿足單個域(domain)裡内部和外部通路的需求。例如,*.contoso.com證書支援外部通路(org1.contoso.com和org2.contoso.com)和内部通路(internalcrm.contoso.com)。
Subject Alternative Name(SAN)證書:如果你希望使用與外部通路位址不同的位址來進行内部通路,那麼你可以使用SAN證書。
自簽名證書(Self-signed certificate):自簽名證書僅僅在測試時推薦使用。如果你使用自簽名證書,它必須導入所有CRM 伺服器以及所有通路CRM 的用戶端上的Trusted Root Certification Authorities store
這裡我們使用通配符證書
申請證書準備:
1、安裝好申請證書的伺服器
2、伺服器安裝好IIS
打開IIS界面,點選伺服器後伺服器,選擇伺服器證書
選擇建立證書申請
填寫證書資訊,證書的通配域名以及組織名等等,填好後下一步
選擇加密長度,這裡選擇2048(在證書的配置信任方時如果數值太小會警告安全性低)
點選…,輸入證書名稱(記住建立好申請的路徑,下面會用到)
點完成後證書申請就已經建立好了
找到剛剛産生的證書申請TXT檔案,複制上面的内容
之後移步到證書申請伺服器,打開浏覽器,并在浏覽器中輸入 http://機器名 + /certsrv,輸入伺服器使用者名密碼後進入下面界面
點選申請證書
點選進階證書申請
選擇下面的那個長長的連結
把剛剛複制的一長串東東黏貼到下面的多行編輯框,選擇模闆WEB伺服器,點選送出後就會産生出對應的證書
點選下載下傳證書
另存一個名字後儲存證書,記住證書存放的路徑,之後會用到
把下載下傳好的證書拷貝到申請證書的伺服器,之後在IIS證書界面點選完成證書申請,導入拷貝過來的證書,起一個名字後點确定,證書就完成了申請。
為CRM伺服器的應用程式池配置證書的通路權限,CRM打開指令提示符
輸入MMC,回車
打開控制台
點選檔案,添加/删除管理單元
找到證書,點添加
選擇本地計算機,下一步
預設完成
點确定
證書就被加到控制台根節點下面,依次找到個人,證書就可以看到我們申請的證書
右鍵證書後,選擇所有任務,選擇管理私鑰
添加一個Network Service的使用者
加好使用者後,依次點選應用,确定
證書的授權至此完成