我曾經(jīng)看到過(guò)很多的朋友，搭建PoC環(huán)境甚至是生產(chǎn)環(huán)境時(shí)，為了方便申請(qǐng)證書，而在AD CS的服務(wù)器上安裝基于IIS的證書申請(qǐng)站點(diǎn)。

專注于為中小企業(yè)提供網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)河曲免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了千余家企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

        雖然現(xiàn)在的IIS比以前的安全多了，可是在AD服務(wù)器上安裝IIS。。。

        首先來(lái)說(shuō)說(shuō)怎么獲取證書吧。

       

        世界發(fā)展到今天，不僅是Windows，蘋果的Mac和iOS，安卓，都是一樣要使用證書的。每個(gè)系統(tǒng)，其實(shí)都會(huì)使用一個(gè)安全的方式來(lái)保存證書。前文我們說(shuō)過(guò)，證書就是公鑰私鑰，因此，蘋果使用KeyChain、安卓使用KeyStore來(lái)保存公鑰私鑰。

        如果您曾經(jīng)申請(qǐng)過(guò)證書，就會(huì)記得，首先要生成一個(gè)證書請(qǐng)求（CSR），然后把這個(gè)證書請(qǐng)求提交給CA，CA經(jīng)過(guò)批準(zhǔn)后生成一張證書，然后可以把證書導(dǎo)出為CER文件，在生成證書請(qǐng)求的設(shè)備上完成證書申請(qǐng)。

        其實(shí)在這背后，過(guò)程稍微復(fù)雜一點(diǎn)。

        首先需要生成證書請(qǐng)求的客戶端，其實(shí)是生成了一公鑰私鑰（還記得我們說(shuō)的？公私鑰是唯一的、成對(duì)匹配的），私鑰會(huì)被立即保存到嚴(yán)格保護(hù)的Key Store存儲(chǔ)中，通常除了生成的證書，不允許其他方式訪問(wèn)私鑰。

        緊接著，客戶端將公鑰，以及需要的證書信息生成一個(gè)CSR文件。請(qǐng)記住，私鑰永遠(yuǎn)不會(huì)用于申請(qǐng)證書。

        CA獲得CSR請(qǐng)求后，可以按照策略，經(jīng)過(guò)管理員批準(zhǔn)或者自動(dòng)允許生成一張證書。這張證書使用CA的證書進(jìn)行簽名，同時(shí)至少會(huì)包含我們前文說(shuō)的證書三要素，CA的信息、證書有效期（往往根據(jù)證書模板確定）以及頒發(fā)給誰(shuí)（即我們提交CSR時(shí)，提供的Subject申請(qǐng)信息，例如服務(wù)器的FQDN）。

        這個(gè)證書在客戶端導(dǎo)入后，客戶端就能夠使用私鑰了。

 

        讓我們回到最前面的問(wèn)題，申請(qǐng)證書是否一定要使用基于IIS的certsvc站點(diǎn)呢？

 

        當(dāng)然不用。

        我們可以使用certreq.exe命令行來(lái)很好的解決這個(gè)問(wèn)題。

        這個(gè)工具可以支持命令行方式申請(qǐng)和導(dǎo)入證書。最關(guān)鍵的，這個(gè)工具包含在Windows操作系統(tǒng)中。具體命令行可以參考：

       http://technet.microsoft.com/library/cc725793.aspx

       還有一點(diǎn)特別棒的，可以把一組參數(shù)作為一個(gè)inf文件，提供給命令行。這樣，對(duì)于相同要求的證書請(qǐng)求，就不再需要每次輸入冗長(zhǎng)的命令行參數(shù)了。

 

      我基于該命令行，使用腳本寫了一個(gè)證書生成CSR和導(dǎo)入CER、然后導(dǎo)出PFX的工具。關(guān)于這些證書文件的格式，以后再做介紹。

      這個(gè)工具的第一步，可以生成一個(gè)CSR證書請(qǐng)求。

      

       然后，可以把這個(gè)證書請(qǐng)求，發(fā)給中間管理員進(jìn)行簽名。

      

       簽過(guò)名的證書請(qǐng)求，發(fā)送給Apple用于申請(qǐng)APNS證書。

      

       收到證書后，就可以導(dǎo)入，并且可以將公鑰私鑰一起導(dǎo)出為PFX文件。

      

       當(dāng)然，也可以直接提交CSR到自建CA進(jìn)行證書的頒發(fā)。

網(wǎng)頁(yè)標(biāo)題：說(shuō)說(shuō)證書——如何獲取證書
當(dāng)前路徑：http://chinadenli.net/article4/gppdie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、虛擬主機(jī)、、網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)