SSL证书管理: SSL可扩展性和可管理性

随着越来越多的电子商务网站上线，越来越多的企业在线存储和共享敏感文件，安全的网站主机和可扩展性变得越来越重要。此外，云托管和灵活性可扩展性必须添加和动态删除服务器容量。当涉及到安全网站托管和SSL证书的支持功能时，WindowsServer2012之前版本的WindowsServer系统受到挑战:SSL可扩展性:在多租户环境下，比如共享主机，WindowsServer主机下可托管的安全网站密度低造成的限制。SSL可管理性:证书存储在本地WindowsServer上。因此，证书需要在每个WindowsServer中单独管理。一个简单的任务，比如更新证书，必须在每个服务器上重复操作。另外，如果有成千上万的证书需要导入WindowsServer，可能需要几个小时才能添加新的证书。解决方案在WindowsServer2012中，集中SSL证书的支持功能允许服务器管理员存储和访问的证书集中在共享文件中。与WindowsServer2008引入的共享配置功能配置类似，Windows服务器可以配置在服务器中加载证书共享文件的需求。有了这个功能，SSL证书的绑定和管理大大简化。该功能涉及SSL，DNS名称必须与CN证书名称一致。这样可以进一步扩展到证书的文件名。例如，ww.xxx.com将使用该文件名称为www.xx.com.pfx证书。在windowsserver中，无论安全网站使用该证书功能的数量如何，只能绑定一个SSL证书，并推断相应的证书是由SNI值或主机名要求的web网站，并通过其文件名的证书进行匹配。分步说明先决条件:Windowserver2012集中式SSL证书功能安装在IIS8.0上，这是一个可选项，IIS没有默认安装。从服务器管理器安装此功能时，必须在安全节点下选择集中SSL证书支持节点：示例证书和NULL密码。(或者你可能有一个全局密码的示例证书。证书必须具有约定命名的CN_name.pfx(即.www.xx.com.pfx).如果证书是通配型证书，使用“_”作为通配符(即._.xx.com.pfx).若证书中有多个CN名称，则必须命名为单个文件。(即.ww.idcbest1.com.pfx、ww.idcbest2.com.pfx等）共享两个文件：一个是共享配置，另一个是集中SSL证书。IIS服务器使用共享配置。示例证书已复制到文件共享的集中SSL证书中。windowssystem32driversetchosts修改示例网站和证书。例如，如果证书的CN名称是centralcert0，则hosts文件必须包含以下内容：127.0.0.1centralcert0。已知的bug解决方案：目前还没有发现未知bugs..SSL证书支持功能配置集中：打开IIS管理器。选择左导航窗口的服务器节点：双击集中证书在管理下：选择编辑功能设置：输入以下信息：使用集中证书。物理路径：例如：ccdemocentralcert。这是证书所在地文件共享的UNC路径。用户名：指定的用户帐户有权阅读和访问文件共享。密码/确认密码。证书私钥密码：这是可选的。如果证书没有密码，请留空。如果证书有全局密码，请输入密码。现在可以使用集中SSL证书的支持功能。需要注意的是，IIS管理器读取证书和填写相关证书的相关信息。这些信息被缓存以获得更好的性能。值得一提的可管理功能是对证书的有效期进行分组：这样可以很好的看到证书的情况:已过期明天到期本周到期下周到期下月到期将来创建一个安全的网站：打开IIS管理器。选择左导航窗口中的站点：选择添加站点：填写您想要创建网站的信息：网站名称：centralcert0。物理路径：c：inetpubwwrot。类型：https。主机名：centralcert0。在新的WindowsServer2012站点，主机名可以指定为SSL.该配置中的实际值取决于正在使用的示例证书。指定服务器名称：未指定。您也可以选择指定的服务器名称，如果您选择指定的服务器名称，集中证书存储不要求您使用SNI，但它将在正常工作中使用。请注意，在预览版本的开发中，SNI需要用于集中证书存储，这在Bata版本中被删除。使用集中证书：选择。请注意，没有必要选择要使用的具体证书。通过使用命名合同，自动选择相应的证书。在这个例子中，IIS将自动从证书共享文件中读取centralcert0.pfx证书。验证网站已建立：就是这样。安全网站由集中SSL证书支持。管理证书的配置绑定类似于传统的SSL证书配置绑定。区别是:证书集中存储在共享文件中。指定主机名为SSL证书的网站。SSL绑定管理，一一对应。安全站点测试：打开浏览器导航:https://centralcert0/。请注意hosts作为服务请求的先决条件。请修改当地主机路由的hosts文件:此外，如果您想查看新的SSL绑定类型，请在提升权限的命令行窗口中输入以下内容：netshttpshowsslcert。需要注意的是，绑定SSL证书的主机名称:端口值*:443。此外，没有证书的哈希值是相关的约束力，因为相应的证书需要根据证书文件的合同加载证书。情景尝试部署以下情况：在多租户的环境中设置集中式SSL证书的支持。尝试配置大量安全网站使用此功能。部署大量证书后，打开命令后窗口运行以下命令。无论安全站的数量如何，都使用以下命令进行绑定:netshttpshowsslcert。尝试添加一个新的服务器来部署服务器场景。使用共享配置和集中证书支持功能需要以下三个步骤：使用共享配置配置新的服务器。配置新的服务器，使用统一的证书支持。创建SSL绑定。打开命令行窗口。addsslcerthostnameport=*:443appid={00112233-4455-6677-8899-AABBCDDEF}与之前的WindowsServer版本相比，WindowsServer2012中的证书被加载到内存中。大量网站使用集中SSL证书支持功能配置后，发送带安全网站的GET请求，观察内存的使用情况，发现占用内存可以忽略不计。在之前的WindowsServer版本中，如果已经配置了数百个安全网站，只发送一个GET请求会导致WindowsServer加载所有证书，导致内存占用过高，限制可扩展性。创建SNI安全网站，支持传统和集中的SSL证书，在设计中共存。总结在WindowsServer2012中，您已经成功探索了集中SSL证书管理功能。

转载于天翼云知识，如有侵权，请联系删除，谢谢