须填写这项申请信息,可选指可有可无。
步骤二:创建所需的文件,这文件是为了后续申请ca用的,在此先配置。
步骤三:生成私钥
步骤四:生成自签名证书 openssl req -new -x509 –key
/etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.pem
查看证书文件
步骤五:在需要的客户端申请私钥
步骤六:生成证书申请文件
步骤七:把证书请求文件传输给CA
scp /etc/pki/tls/service.src 192.168.100.200:
步骤八:CA签署证书,并将证书颁发给请求者。注意:默认国家,省,公司名称三项必须和CA 一致
步骤九:查看申请完成的证书
步骤一:生成自定义证书申请文件,并把文件发给CA。
步骤二:ca签署自定义申请证书
步骤三:要完成自定义申请证书,必须要修改配置文件:/etc/pki/tls/openssl.cnf
修改后
步骤四:重新签署自定义申请证书,此时,签署证书没有报错,输入两次yy,文件末尾显示Data Base Updated ,完成签署。
步骤五:查看新申请完成的证书
步骤六:当我们的证书丢失或者不想使用的时候,如何吊销证书呢?方法如下:openssl ca -revoke /etc/pki/CA/newcerts/02.pem
步骤七:指定一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行
echo 01 >/etc/pki/CA/crlnumber
步骤八:更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
步骤九:查看crl文件:openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text
哈,站长一语中的。其实不是Exchange的问题,是CA的问题。大概在这里解释一下吧,如果站长觉得在此处不妥,就把这个帖子移到别处吧。CA是5年前11月份为Exchang2003建立的,有效期是5年(咋建CA网上有的是了)结果2年前5月份升级到Exchange2010,重新向CA申请的证书,现在2年到期,续订证书,但是到11月份正好根证书5年到期,所以会出现这样仅能续订半年证书的情况。
查看CA时间的方法为,在CA服务器上,打开控制面板里-管理工具-证书颁发机构-右键点击CA属性,查看证书日期,一般都是5年,续订的方法是右键点CA-所有任务-续订CA证书,这样就会再延期5年。
重新在EXCHANGE上申请续订证书,这时候的申请续订的数字证书时间会是2年,要想延长这个时间需要修改CA服务器的注册表(这个网上也有,大家可以搜一下)
续订完证书,在EXCHANGE的EMC上完成证书申请的搁置请求,导入证书后,会提示证书不可用,我觉得是虽然在CA上续订了证书,但是在EXCHANGE上还是认为是一个新证书,所以要手动把证书安装一下,既可。最后记得把服务迁移到新证书下,尤其是IIS,改变后可能某些IIS设置需要调整一下,要不会出现用户OWA访问有点问题。
俺自以为是的给留下的问题解决的办法,结果发现还是有问题,犯了一个基本的错误,这个也讲给大家吧,也许大家都知道了,客户端上需要安装的是根证书而不是导入Exchange的那张,我把EXCHANGE那张证书在客户端装了N多遍都报错。结果发现是这个问题,根源就是没有搞懂数字证书的原理。另外在CA服务器下载根证书的时候还要注意,因为续签了所以有两张根证书,注意要下那个续签的新根证书!
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)