为内部接口设置证书
上一次修改主题: 2009-01-23
要在边缘服务器和内部服务器(包括 A/V 会议服务器和中介服务器)之间进行相互 TLS (MTLS) 通信,必须具有证书。
有关证书要求的详细信息,请参阅外部用户访问的证书要求。
在内部接口上配置证书
要在某个站点的边缘服务器的内部接口上设置证书,请按照以下步骤进行操作:
- 步骤 1:将内部接口的证书颁发机构 (CA) 证书路径下载到每台边缘服务器。有关详细信息,请参阅准备边缘服务器内部证书。
- 步骤 2:在每台边缘服务器上为内部接口导入 CA 证书路径。
- 步骤 3:在每台边缘服务器上确认该 CA 位于受信任的根 CA 的列表中。
- 步骤 4:在一台边缘服务器(称为第一台边缘服务器)上为内部接口创建证书请求。
- 步骤 5:在第一台边缘服务器上为内部接口导入证书。
- 步骤 6:使用第一台边缘服务器导出证书。
- 步骤 7:在此站点(或部署在此负载平衡器之后)的其他边缘服务器上导入该证书。
- 步骤 8:为每台边缘服务器的内部接口分配证书。
本主题后面将对步骤 2 到 8 进行说明。
如果多个站点都有边缘服务器(即多站点合并边缘拓扑),或不同组的边缘服务器部署在不同的负载平衡器之后,则需要分别对每个有边缘服务器的站点以及对每组部署在不同负载平衡器之后的边缘服务器按照步骤 1 到 8 进行操作。
.gif "Dd441270.note(zh-cn,office.13).gif") 注意: |
|---|
| 本节中各个过程的步骤都以使用 Windows Server 2003 Enterprise CA 或 Windows Server 2003 R2 CA 为前提。有关任何其他 CA 的分步指导,请参考该 CA 的文档。默认情况下,所有经过身份验证的用户都有权申请证书。 |
为内部接口导入 CA 证书路径
在部署中的每台边缘服务器上打开部署向导,在**“部署边缘服务器”页上单击“步骤 4:配置边缘服务器的证书”旁的“运行”**。
在 Communications 证书向导的**“欢迎”页上单击“下一步”**。
在**“可用的证书任务”页上选择“从 .p7b 文件导入证书链”,然后单击“下一步”**。
在**“导入证书链”页上键入 .p7b 文件的完整路径和名称,然后单击“下一步”**。
单击**“完成”**。
在每台边缘服务器上重复此过程。
确认 CA 在受信任根 CA 的列表中
在每台边缘服务器上打开 Microsoft 管理控制台 (MMC),方法是依次单击**“开始”、“运行”,在“打开”框中键入 mmc,然后单击“确定”**。
在**“文件”菜单上单击“添加/删除管理单元”,然后单击“添加”**。
在**“添加独立管理单元”框中,单击“证书”,然后单击“添加”**。
在**“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”**。
在**“选择计算机”对话框中,确保选中“本地计算机:(运行此控制台的计算机)”复选框,然后单击“完成”**。
单击**“关闭”,然后单击“确定”**。
在控制台树中,展开**“证书(本地计算机)”,展开“受信任的根证书颁发机构”,然后单击“证书”**。
在详细信息窗格中,验证您的 CA 是否位于受信任的 CA 列表中。
在每台边缘服务器上重复此过程。
为内部接口创建证书请求
在一台边缘服务器上打开部署向导,在**“部署边缘服务器”页上单击“步骤 4:配置边缘服务器的证书”旁的“运行”**。
在 Communications 证书向导的**“欢迎”页上单击“下一步”**。
在**“可用的证书任务”页上,单击“创建新的证书”,然后单击“下一步”**。
在**“选择为其申请证书的组件”页上选择“边缘服务器专用接口”,然后单击“下一步”**。
在**“延迟的请求或即时请求”页上选中“现在准备请求,但稍后发送”复选框,然后单击“下一步”**。
注意:如果从边缘服务器上可以访问企业 CA,则可以使用“立即将请求发送给联机证书颁发机构”选项。由于这种情况并不多见,因此本指南中的此过程和其他证书请求过程都未涉及使用该选项。
此外请注意,一旦创建了请求,该请求将成为待处理请求,在处理完待处理请求之前,证书向导将不允许您创建另一个请求。在**“名称和安全设置”页上为证书键入一个友好名称,并指定位长度(通常默认值为 1024),确认选中了“将证书标记为可导出”复选框,然后单击“下一步”**。
在**“组织信息”页上键入组织和组织单位(如分部或部门,如果适用)的名称,然后单击“下一步”**。
在**“服务器的使用者名称”**页上键入或选择边缘服务器的使用者名称和使用者替代名称。
使用者名称应与要配置证书的内部接口的内部防火墙所发布的边缘服务器的完全限定域名 (FQDN) 匹配:
- 对于边缘服务器的内部接口,此使用者名称应与内部服务器用于连接到边缘服务器的名称(通常为边缘服务器内部接口的 FQDN)匹配。
- 即使使用负载平衡器,边缘服务器流量也仍会使用服务器内部边缘的 FQDN(服务器名称),但如果对于边缘服务器使用虚拟 IP 地址,则证书应与此服务器角色在内部负载平衡器上使用的虚拟 IP 地址的服务器 FQDN 匹配。对于内部接口,这通常是外围网络中映射到边缘服务器的已发布域名系统 (DNS) 名称。
如果要将边缘服务器的计算机名添加到证书的替代名称列表中,请选中**“自动将本地计算机名称添加到使用者替代名称”**。
单击**“下一步”**。
在**“地理信息”页上键入位置信息,然后单击“下一步”**。
在**“证书请求文件名称”页上的“文件名”框中键入要将请求保存到的完整路径和文件名(例如 C:\certrequest_AccessEdge.txt),然后单击“下一步”**。
在**“请求摘要”页上单击“下一步”**。
在向导完成页上确认操作已成功完成,然后单击**“完成”**。
将此文件提交给 CA(通过电子邮件或组织对企业 CA 支持的其他方法),并在收到回复文件时将新证书复制到此计算机,以使该证书可供导入。
在每台边缘服务器上重复此过程。
为内部接口导入证书
在创建证书请求的边缘服务器上打开部署向导,在**“部署边缘服务器”页上单击“步骤 4:配置边缘服务器的证书”旁的“运行”**。
在 Communications 证书向导的**“欢迎”页上单击“下一步”**。
在**“待处理的证书请求”页上单击“处理脱机证书请求并导入证书”,然后单击“下一步”**。
在**“处理待处理的请求”页的“路径和文件名”中,键入为此边缘服务器的内部接口请求并接收的证书的完整路径和文件名,然后单击“下一步”**。
在向导完成页上确认操作已成功完成,然后单击**“完成”**。
导出证书(供其他边缘服务器使用)
在请求并导入证书的边缘服务器上打开部署向导,在**“部署边缘服务器”页上单击“步骤 4:配置边缘服务器的证书”旁的“运行”**。
在 Communications 证书向导的**“欢迎”页上单击“下一步”**。
在**“可用的证书任务”页上单击“将证书导出到 .pfx 文件”,然后单击“下一步”**。
在**“可用证书”页的“选择证书”中,单击已导入到此边缘服务器的证书,然后单击“下一步”**。
在**“导出证书”页的“路径和文件名”中,键入要将证书导出到的完整路径和文件名,然后单击“下一步”**。
在证书路径中加入所有证书(如果可能)。
在**“导出证书密码”页上的“密码”中,键入在其他边缘服务器上导入证书时要使用的密码,然后单击“下一步”**。
在向导完成页上确认操作已成功完成,然后单击**“完成”**。
将导出的文件复制到其他边缘服务器可以访问的位置或介质。
为其他边缘服务器上的内部接口导入证书
在此站点的每个其他边缘服务器上打开部署向导,在**“部署边缘服务器”页上单击“步骤 4:配置边缘服务器的证书”旁的“运行”**。
在 Communications 证书向导的**“欢迎”页上单击“下一步”**。
在**“可用的证书任务”页上单击“从 .pfx 文件导入证书”,然后单击“下一步”**。
在**“导入证书”页的“路径和文件名”中,键入从第一台边缘服务器中导出的证书的完整路径和文件名,清除“将证书标记为可导出”复选框,然后单击“下一步”**。
在**“导入证书密码”的“密码”中,键入从第一台服务器中导出证书时键入的密码,然后单击“下一步”**。
在向导完成页上确认操作已成功完成,然后单击**“完成”**。
对要使用同一证书的每台边缘服务器重复此过程。
将证书分配给边缘服务器的内部接口
在每台边缘服务器上打开部署向导,在**“部署边缘服务器”页上单击“步骤 4:配置边缘服务器的证书”旁的“运行”**。
在 Communications 证书向导的**“欢迎”页上单击“下一步”**。
在**“可用的证书任务”页上单击“分配现有证书”,然后单击“下一步”**。
在**“可用证书”页上,选择为此边缘服务器的内部接口请求的证书,然后单击“下一步”**。
在**“可用的证书分配”页上选中“边缘服务器专用接口”复选框(即要在其上安装证书的服务器接口),然后单击“下一步”**。
在**“配置服务器的证书设置”页上检查设置,然后单击“下一步”**以分配证书。
在向导完成页上单击**“完成”**。
对向其分配此证书的每台边缘服务器重复此过程。