CA证书是HTTPS协议下对网络安全提升的一个工具,如果你购买了公网证书的话只需要看证书配置的内容即可,如果你没买证书则需要自己在服务器去进行证书的申请和配置。
下面开始CA证书的申请和配置
准备工作:确保申请CA证书的服务器加入到域
打开服务器管理器
添加功能和角色向导,勾选Active Directory证书服务,下一步
默认下一步
默认下一步
选择服务器角色服务勾选"证书颁发机构","证书颁发机构Web注册"之后会提示安装IIS,点击添加后,下一步
默认下一步
勾上基于"身份验证"下一步
勾选如果需要自动重启服务器,点击安装
等待安装完成
安装完成后开始设置CA服务器,点击上方小旗子找到AD证书配置服务
默认下一步,
勾选:证书颁发机构和证书颁发机构Web注册
这里勾选企业,下一步(如果只是本服务器使用可以勾选独立,不建议)
选择根CA(R)
默认,下一步
如果有特殊的需求可以选择对应的加密方式,这里默认下一步
如果有需要可以自行修改,这里默认,下一步
这里也可以设定证书的使用年限,这里默认下一步
默认,下一步
默认,配置
CA证书服务器安装完成
证书配置
证书有三种类型:
通配符证书(wildcard certificate,推荐):一个通配符证书满足单个域(domain)里内部和外部访问的需求。例如,*.contoso.com证书支持外部访问(org1.contoso.com和org2.contoso.com)和内部访问(internalcrm.contoso.com)。
Subject Alternative Name(SAN)证书:如果你希望使用与外部访问地址不同的地址来进行内部访问,那么你可以使用SAN证书。
自签名证书(Self-signed certificate):自签名证书仅仅在测试时推荐使用。如果你使用自签名证书,它必须导入所有CRM 服务器以及所有访问CRM 的客户端上的Trusted Root Certification Authorities store
这里我们使用通配符证书
申请证书准备:
1、安装好申请证书的服务器
2、服务器安装好IIS
打开IIS界面,点击服务器后服务器,选择服务器证书
选择创建证书申请
填写证书信息,证书的通配域名以及组织名等等,填好后下一步
选择加密长度,这里选择2048(在证书的配置信任方时如果数值太小会警告安全性低)
点击…,输入证书名称(记住创建好申请的路径,下面会用到)
点完成后证书申请就已经创建好了
找到刚刚产生的证书申请TXT文件,复制上面的内容
之后移步到证书申请服务器,打开浏览器,并在浏览器中输入 http://机器名 + /certsrv,输入服务器用户名密码后进入下面界面
点击申请证书
点击高级证书申请
选择下面的那个长长的链接
把刚刚复制的一长串东东黏贴到下面的多行编辑框,选择模板WEB服务器,点击提交后就会产生出对应的证书
点击下载证书
另存一个名字后保存证书,记住证书存放的路径,之后会用到
把下载好的证书拷贝到申请证书的服务器,之后在IIS证书界面点击完成证书申请,导入拷贝过来的证书,起一个名字后点确定,证书就完成了申请。
为CRM服务器的应用程序池配置证书的访问权限,CRM打开命令提示符
输入MMC,回车
打开控制台
点击文件,添加/删除管理单元
找到证书,点添加
选择本地计算机,下一步
默认完成
点确定
证书就被加到控制台根节点下面,依次找到个人,证书就可以看到我们申请的证书
右键证书后,选择所有任务,选择管理私钥
添加一个Network Service的用户
加好用户后,依次点击应用,确定
证书的授权至此完成