隨著越來越多的電子商務(wù)網(wǎng)站上線，越來越多的企業(yè)在線存儲和共享敏感文件，安全的網(wǎng)站主機(jī)和可擴(kuò)展的能力越來越重要。此外，云托管和彈性可擴(kuò)展性，服務(wù)器容量必須被添加和被動態(tài)刪除。當(dāng)涉及到安全的網(wǎng)站托管和SSL證書的支持功能，在Windows Server2012之前的版本 Windows Server 系統(tǒng)都受到挑戰(zhàn):

SSL 可擴(kuò)展性: 在多租戶環(huán)境下, 如一個共享的主機(jī),在Windows Server主機(jī)下可托管的安全網(wǎng)站的站點密度低導(dǎo)致的限制.

SSL 可管理性: 證書是存儲在本地的Windows Server上. 因此, 證書需要在每個Windows Server進(jìn)行單獨管理. 一個簡單的任務(wù)，如更新證書，必須在每個服務(wù)器上重復(fù)操作. 此外, 如果有數(shù)以千計的證書需要導(dǎo)入到Windows Server上，添加一個新的證書可能需要需要幾個小時.

解決方案

在Windows Server 2012中, 集中式SSL證書的支持功能允許服務(wù)器管理員存儲和訪問的證書集中在一個共享文件。類似于Windows Server2008中引入的共享配置功能配置，Windows服務(wù)器可以配置在服務(wù)器中加載證書共享文件的需求。

有了這個功能，大大簡化了SSL證書的綁定和管理。功能涉及到SSL，DNS名稱和CN的證書名稱必須相符。類似這樣可以進(jìn)一步擴(kuò)展到證書的文件名。例如：m.51huadong.com將使用該文件名為m.51huadong.com.pfx證書.在 Windows Server中，無論安全的網(wǎng)站使用此證書功能的數(shù)量，都只能進(jìn)行一個SSL證書的綁定，推導(dǎo)出相應(yīng)的證書是由SNI值或主機(jī)名的請求的Web站點，并通過它的文件名的證書相匹配.

分步說明

先決條件:

IIS 8.0 安裝上 Windows server 2012集中式 SSL 證書功能 此功能是一個可選項，沒有被IIS默認(rèn)安裝。

要從服務(wù)器管理器安裝這項功能, 一定要選擇安全性節(jié)點下集中式SSL證書支持節(jié)點:

示例證書與NULL密碼. (或者您可能有一個全局密碼的示例證書.)

證書必須具有約定命名的CN_name.pfx (即. m.51huadong.com.pfx).

如果證書是通配型證書，使用 "_" 作為通配符. (即._.idcbest.com.pfx).

如果證書中有多個CN名字，它們必須被命名為單個文件。 (即. www.idcbest1.com.pfx, www.idcbest2.com.pfx, 等等.)

兩個文件共享: 一個用于共享的配置，另一個用于集中式 SSL 證書.

IIS服務(wù)器使用的是共享的配置.

示例證書已被復(fù)制到文件共享的集中式SSL證書.

\windows\system32\drivers\etc\hosts 修改示例網(wǎng)站和證書. 例如, 如果 證書的CN 名稱是centralCert0, 此時hosts文件中必須包含以下內(nèi)容:

127.0.0.1 centralCert0

已知的bug解決辦法:

當(dāng)前，還未發(fā)現(xiàn)未知bugs.

配置集中的SSL證書支持功能:

打開IIS管理器.

在左側(cè)的導(dǎo)航窗口中，選擇服務(wù)器節(jié)點:

在管理下, 雙擊集中證書:

在“操作”窗格中，選擇“編輯”功能設(shè)置:

輸入以下信息:

啟用集中式證書

物理路徑: 例如: \\ccdemo\centralcert

這是證書所在的位置的文件共享的 UNC 路徑.

用戶名: 指定的用戶帳號具有讀取訪問權(quán)限的文件共享.

密碼/確認(rèn)密碼.

證書私鑰密碼:

這個是可選的. 如果證書沒有密碼，留空.

如果證書有一個全局性的密碼，請輸入密碼.

現(xiàn)在可以使用集中式 SSL證書的支持功能. 需要注意IIS管理器讀取證書和有關(guān)證書的填充的相關(guān)信息。這些信息被緩存，以獲得更好的性能。

一個值得一提的可管理性功能是對證書的有效期進(jìn)行分組:

這樣就能很好的看見證書的情況:

已過期

明天到期

本周到期

下周到期

下月到期

將來

創(chuàng)建一個安全的Web站點:

打開IIS管理器.

在左側(cè)的導(dǎo)航窗口中選擇“站點”:

選擇“添加站點”:

填寫你要創(chuàng)建網(wǎng)站的信息:

網(wǎng)站名稱: centralCert0

物理路徑: c:\inetpub\wwwroot

類型: https

主機(jī)名: centralcert0

在新的Windows Server 2012 站點中，主機(jī)名可以被指定為SSL.

此配置中的實際值取決于正在使用的示例證書.

指定服務(wù)器名稱: 未指定

您也可以選擇指定服務(wù)器名稱，如果您選擇指定服務(wù)器名稱，集中式證書存儲不要求您使用SNI，但它在正常工作時會使用

注意，在開發(fā)預(yù)覽版中，集中式證書存儲需要使用SNI，這一限制在Bata版中被刪除。

使用集中式證書存儲: 選擇

請注意，也沒有必要來選擇一個特定的要使用的相應(yīng)的證書

通過使用命名合同，相應(yīng)的證書被自動選擇。在這個例子中，IIS將自動從證書共享文件中讀取centralcert0.pfx證書文件.

驗證該網(wǎng)站已經(jīng)建立:

就是這樣. 安全的網(wǎng)站是使用集中式SSL證書支持。管理證書的配置綁定和傳統(tǒng)的SSL證書配置綁定是相似的。區(qū)別是:

證書集中存儲在一個共享文件中.

主機(jī)名被指定為SSL證書的網(wǎng)站.

SSL綁定管理，一一對應(yīng).

測試安全站點:

打開瀏覽器導(dǎo)航到：https://centralcert0/. 請注意hosts作為服務(wù)請求的先決條件，請修改本地主機(jī)路由的hosts文件:

另外, 若要查看新的SSL綁定類型, 提升權(quán)限的命令行窗口中應(yīng)輸入以下內(nèi)容:

netsh http show sslcert

需要注意SSL證書綁定的主機(jī)名: 端口值 *:443. 另外, 沒有證書的哈希值是與此相關(guān)的約束力，是因為相應(yīng)的證書加載需要根據(jù)證書文件合同的證明.

情景

嘗試部署下列情況:

設(shè)置一個規(guī)模為多租戶的環(huán)境下使用集中式SSL證書的支持. 嘗試配置大量安全站點使用此功能.

大量證書部署后, 打開命令后窗口運(yùn)行以下命令.不管安全站點的數(shù)量多少, 都使用以下命令進(jìn)行綁定:

netsh http show sslcert

嘗試添加一個新的服務(wù)器，部署服務(wù)器場景。使用共享的配置和集中式證書支持功能，需要如下三個步驟過程:

配置新的服務(wù)器使用共享配置.

配置新的服務(wù)器使用統(tǒng)一的證書支持.

創(chuàng)建SSL綁定. 打開命令行窗口。輸入:

add sslcert hostnameport=*:443 appid={00112233-4455-6677-8899-AABBCCDDEFF}

與以前的Windows Server版本相比, 在 Windows Server 2012 中的證書是被加載到內(nèi)存中. 大量站點使用集中式SSL證書支持功能配置后, 發(fā)送一個 GET 請求帶安全站點并觀察內(nèi)存的使用情況，發(fā)現(xiàn)占用內(nèi)存可忽略不計。在以前的Windows Server版本中, 如果已經(jīng)配置了數(shù)百個安全站點，僅發(fā)送一個GET 請求會導(dǎo)致Windows Server 加載所有證書, 導(dǎo)致內(nèi)存占用過高，限制了可擴(kuò)展性.

創(chuàng)建SNI的安全網(wǎng)站, 傳統(tǒng)的和集中式的SSL證書支持，它們在設(shè)計中是共存的.

總結(jié)

您已成功地探索了在Windows Server 2012的集中式SSL證書管理功能.

天下數(shù)據(jù)SSL證書服務(wù)上線，特推出折上折優(yōu)惠活動：會員即可購買可以享受最低優(yōu)惠價99元/年！詳詢天下數(shù)據(jù)客服電話400-6388-808 。

本文鏈接：http://m.51huadong.com/cloundnews/11004303.html