VM桌面虚拟化--连接服务器自签名证书替换

 

                   连接服务器替换自签名证书openssl

 

每章一段话：

借口太多的人，成功与他无缘，最后注定就剩下叹息，后悔终老，任何事情，怕！就会输一辈子。

 

一、于 Windows Server 2008 AD 服务器内安装下列角色
1. IIS，需「含 IIS 客户端凭证对应验证」与「客户端凭证对应验证」。
2. Active Directory 凭证服务。需勾选「证书颁发机构单位」与「证书颁发机构单位网页注册」。

二、安装 openssl

1. Win64 OpenSSL v1.0.1c
2. Visual C++ 2008 Redistributables (x64)

第二个软件一般2008自带安装

 

三、操作 openssl
1.开启 cmd 并跳到 C:\OpenSSL-Win64\bin 目录下。
2.下 SET OPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg 指令。
3.产生 key 与 csr 檔如下所示：

C:\OpenSSL-Win64\bin>openssl req -newkey rsa:2048 -keyout View-CS.key -nodes -days 3650 -out View-CS.csr
Loading ‘screen’ into random state – done
Generating a 2048 bit RSA private key …………………+++ …………………………..+++
writing new private key to ‘View-CS.key’
—–
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a
Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ‘.’, the
field will be left blank. —–
Country Name (2 letter code) [AU]:TW
State or Province Name (full name) [Some-State]:Taiwan
Locality Name (eg, city) []:Taipei
Organization Name (eg, company) [Internet Widgits Pty Ltd]:NTUEEES
Organizational Unit Name (eg, section) []:Admin
Common Name (e.g. server FQDN or YOUR name) []:view.itrg.com（！！连接服务器的FQDN）
Email Address []:[email protected]

Please enter the following ‘extra’ attributes to be sent with your certificate request
A challenge password []:
An optional company name []:

4. 开启刚才产生的 View-CS.csr 并将内容 copy 到 AD 服务器上的 Active Directory 凭证服务网页，例如 http://ca.itrg.com/certsrv/
5. 按「申请证书」->「高级证书」->「用 Base-64 编码的 CMC 或 PKCS #10 档案来提交凭证要求，或用 Base-64 编码的 PKCS #7 档案提交
更新要求」 。
6. 开启刚才产生的 certificate.csr 并将内容 copy 到 Base-64 编码的凭证字段里，证书模板选「web服务器」。
7. 将凭证以 Base64 编码方式下载凭证并存到 C:\OpenSSL-Win64\bin，檔名通常叫 certnew.cer
8. 于 cmd 下以下 openssl pkcs12 -export -in certnew.cer -inkey View-CS.key – name vdm -passout pass:yourpassword -out View-CS.pfx

四、汇入凭证
1.于 cmd 下 mmc.exe
2. 「文件」->「新增或移除管理单元」->「证书」，选「计算机帐户」如下图。其他默认

3. 于 mmc 左侧控制台根目录点选「证书(本地计算机)」->「个人」。
4. 于右侧按 mouse 右键选「所有任务」->「导入」，选择刚才产生的.pfx 档案。

5. 打入刚才 keyin 的密码并勾选「标注此秘钥为可导出的秘钥」并按下一步。

6. 点选「将所有证书放入下列存储」，证书存储选择「个人」，按下一步完成。

注意！！如果这个证书的显示信息为“这个跟CA不受信任”那么做如下操作

         登录到证书申请页面，例如：http://ca.itrg.com/certsrv/
下载CA证书或证书链，并把CA证书导入到受信任的根证书颁发机构里。【右键安装证书】->【将所有证书放入下列存储】->【预览】->【受信任的根证书颁发机构】完成

7. 重启 connection server
8. 登入 VMware View Administrator 检查 Dashboard 下的 Connection Servers 是否变成绿灯。如下图。

注意！！这个时候就完成了证书的替换，要注意这个时候客户端用ssl加密登录的时候输入的是连接服务器的FQDN（完全合格域名）。注意DNS解析。