Skype for business/Lync之证书解析（四）证书申请的四种方式

 

有四种方式进行证书申请，这四种方式不仅适合skype/lync，也适合任何证书申请场景（除了第一种方式）：

第一种方式：在SFB/LYNC安装界面中用证书向导自动生成与分配证书，操作最简单，但生成的证书导出时不能导出私钥。

第二种方式：通过MMC，参见本系列之http://huoxian.blog.51cto.com/9437529/1680132

第三种方式：通过web

通过web申请需要使用ssl加密连接，即采取https://ca/certsrv方式，默认没有https，请增加https连接，如下图。

第四种方式是今天主要讲的东西，因为前三种大家都比较熟悉，一看就懂，但有些场合必须用第四种方式，特别是某些非微软应用要用到证书时。前三种方式都是微软系统内置的证书申请方式，方便快捷，但有一个缺点，就是申请的证书的私钥是不能单独导出为一个独立的私钥文件的，而有时我们可能是需要这个东西的，比如我们用wireshark抓SSL包时，由于ssl包是加密的，我们无法分析，此时若能够使用对应私钥解密SSL包，则对我们排错是非常有帮助的（wireshark支持，后面讲到）。另外如果你配置过思科的产品，它也要求有独立的私钥与公钥文件才能合并生成证书，下面就讲讲第四种方法，基本步骤如下：

1. 下载openssl，需要使用它。

我找了一个运行稳定的openssl版本，放在http://pan.baidu.com/s/1qW7lNv2上，你可以下载，同时里面还有另外两个文件，建议在win7上运行，安装时请先安装vc++2008，再安装openssl，然后把openssl.cnf拷贝到安装目录，openssl.cnf根据情况可以自行修改，后面会讲到。

另外设置PATH环境变量指向其bin文件夹。

二、进入bin目录，运行：

openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout private.key -config "C:\OpenSSL-win32\openssl.cnf"

request.csr是证书请求文件，private.key是私钥。我这里要申请一个多域名证书，在openssl.conf里面进行了相应配置。

二、用web方式进行申请：

把第一步生成的request.csr里面的内容复制到“保存的申请”框中，证书模板选自定义好的计算机模板，最后提交。

最后下载BASE64编码的证书。默认会是一个名叫certnew.cer的证书，双击查看一些信息。

三、公钥私钥的合成

记住上面下载的certnew.cer只是一个公钥证书，没有包含私钥，我们可以把第一步的私钥和公钥合并成一个，以便把申请的证书移植到其他计算机并导入。

合并方法：

openssl pkcs12 -export -in certnew.cer -inkey private.key -out cme.pfx

也可以在线网页合成：

http://www.myssl.cn/openssl/MergePEM.asp

四、导入上面的pfx文档到需要的计算机