LCS的安全通道

 

LCS的基本配置上篇我们已经说了，不过不安全，容易网络嗅探，我们现在来配置一个较安全的安全通道，来为它申请个证书。就可以做到了，下面我们来做一下。

拓扑图如下：

Firenze是Lcs的域控制器，Istanbul是Lcs服务器和域成员服务器。

基本步骤如下：

1. Istanbul即LCS服务器申请个证书。

2. 配置TLS

3. 创建DNS的SRV记录。

我们现在来做一下吧！先在firenze申请个服务器证书。在开始----设置------控制面板------添加或删除程序-------添加/删除windows组件------证书服务。选好后如下图：

这没什么是就可以了，接这安装就行，后如下图：

就选企业根，下一步，写上ITETCA,后如下图：

接着下一步，如下图：

选默认路径，下一步，如下图：

现在正在安装，马上就好，如下图：

完成了。

我们来强制刷新一下，不然一下出不来证书。在运行里打cmd，后进去打gpupdate / force这样证书就能很快生效。如下图：

下面我们来看看证书是否生效，在运行里打mmc，后如下图：

后点文件，添加/删除管理单元，后出现如下图：

后点添加，后选证书，后如下图：

点添加后，如下图：

选好计算机账户，后下一步，如下图：

选本地计算机，后完成。多了个证书，选证书----受信任的根证书颁发机构------证书，后就可以找到ITETCA这个我们刚创建的证书，如下图：

现在我们来拿Istanbul申请个证书，且记要在firenze上的IIS开起默认网站，不然就访问不到网站，在浏览器上打http:\\firenze\certsry，就可以申请了，出现如下图：

选申请一个证书，后如下图：

选高级证书申请，后如下图：

选创建并向此CA提交一个申请，选Web服务器，后如下图：

填一些基本的东西，后如下图：

提交后等会就出现下图：

后点安装此证书，后如下图：

2.配置TLS

LCS服务器申请证书后，就要利用申请到的证书配置TLS了。在Istanbul上的开始----程序-----管理工具中打开Live Communications Server 2005，如下图所示，我们发现目前Istanbul只在5060端口提供TCP连接：

我们来配置一个TCL的安全的5061端口的协议，打开Istanbul.lcstest.com的属性，后如下图：

选添加，后如下图：

把TCP换成TLS，后如下图：

后点选择证书，后如下图：

这就是我们刚才申请的证书了，确定就可以了。后如下图：

3.创建DNS的SRV记录。

现在LCS服务器可以提供TLS连接，但我们还要通过DNS的SRV记录向LCS客户端传递这个消息，在DNS服务器上打开DNS管理器，如下图所示，右键点击lcstest.com区域，选择新建其他新记录。创建SRV记录，后如下图：

选创建记录，配置后如下图：

我们将计算机重新启动一下，不然会受刚才的影响的。看看5061端口用上了吗？

OK，我们的TLS安全通道就安装好了。