欢迎光临,这里是 gOxiA=苏繁=SuFan 独立的个人博客。
本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m
转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!

ubuntu_logo chrome_logo 为 Ubuntu 添加企业根证书

        gOxiA 所在公司部署了 SBS7,涉及远程访问、Exchange 以及 Sharepoint,全部使用了 SSL 加密,对关键信息起到了有效的保护。在 Windows 客户端下导入企业根证书非常容易。

        可是,有时候 gOxiA 会使用 Ubuntu 系统,并通过 Google Chrome 访问公司应用,由于 Ubuntu 未导入企业根证书,所以当访问涉及企业私有证书的 SSL 加密网站后会有警告页面,虽然能够忽略并继续访问,但是时间久了,便会感觉很繁琐,而且用户体验也会大打折扣,毕竟在地址栏会有一个警告提示。

        所以,要解决这个问题就要将企业私有根证书倒入到 ubuntu 中,但是在 Ubuntu 下导入证书可没有 Windows 那么轻松,相对来说麻烦了一些,需要手动安装 Libnss3-tools,并使用命令行导入企业根证书。为此,我们先将企业根证书拷贝到 Ubuntu 下,之后安装 NSS command Line tools:

sudo apt-get install libnss3-tools

        最终执行如下命令导入根证书:

certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n <证书别名> -i <证书文件>

        再次访问使用 SSL 加密的公司站点,警告提示消失!

Tags: , , , ,

windowsmobile_banner

        gOxiA 目前所服务的公司部署了一套 Windows Small Business Server "7" Preview(SBS7),在此之前该公司一直使用 Microsoft Online Services 提供的基于云计算的 Exchange 等服务,而 gOxiA 的 Windows Mobile 手机也通过 Exchange ActiveSync 同步邮件等信息,在配置 Exchange ActiveSync 时并未遇到任何错误。

        在公司的 SBS7 部署完毕之后,gOxiA 全面将邮箱转向到了本地企业的 Exchange 2010 上,但是在手机上重新配置 Exchange ActiveSync 时却遇到了问题,同步中心显示因为证书问题导致同步失败,之后 gOxiA 将企业根证书拷贝到 WM 手机上点击证书文件发现证书安装失败,如下图所示:

import_rootca_failed

        利用 Certificate Distribution Package 中的 InstallCertificate.exe 工具安装证书依然在设备上提示如上图的错误信息,查阅相关信息有提到如果 ROM 版本非正式版,那么可能会出现导入证书失败的问题,根据网上的建议需要通过注册表来手工倒入。

        首先,我们要查看当前的企业根证书,并获取到证书的指纹代码,这样便于我们在注册表中查找该证书数据,如下图所示:

CARoot

        之后,打开注册表编辑器,找到该证书,可以利用指纹代码进行搜索,搜索时注意将指纹代码中的空格删去。导出企业根证书的注册表数据后,编辑该注册表文件,将其数据路径修改为如下格式:

[HKEY_LOCAL_MACHINE\Comm\Security\SystemCertificates\Root\Certificates\"指纹代码"]

        最后将该注册表文件拷贝到 WM 设备上进行导入即可,再次打开 WM 的证书查看器便能够看到企业根证书成功导入到设备。

WM_Cert_Viewer

        再次连接 Exchange ActiveSync 成功与公司的 Exchange Server 同步,至此问题解决!

logo-ms-ws08-v HOWTO:在 Windows Server 2008 上创建多域名证书

        多域名证书即包含多个认证名称的证书,它的好处在于我们只需要部署一个多域名证书就可以满足不同地址的访问支持。例如我们有一个站点,我们可以通过计算机名(如:ex-owa)或完整的 FQDN(如:ex-owa.contos.com)来进行访问,当我们以常规方式部署 SSL 时,所涉及的证书通常只包含一个认证名称,那么当我们使用认证之外的名称访问 SSL 站点时就会出现证书警告。所以此时部署一个多域名证书就显得尤为重要了!

        在 Windows Server 2008 上我们可以使用 MMC 载入证书组件来创建多域名证书申请,之后通过浏览器访问证书申请站点(certsrv)提交多域名证书申请,最后在计算机上导入该证书即可方便我们后续的使用。

        为此,我们首先需要运行 MMC,并载入 证书 组件,选择本地计算机账户,之后定位到 个人 - 证书,鼠标右键单击证书,并从 所有任务 - 高级操作 下选择 创建自定义请求。如下图所示:

123

        在证书注册的自定义请求步骤中,选择 WEB 服务器 模板,并单击下一步,如下图所示:

4

        接下来的证书信息步骤中展开 详细信息,并点击 属性,如下图所示:

5

        在 使用者 选项卡中,将使用者名称类型改为 公用名,添加值为计算机名称,并在备用名称类型中选择 DNS,添加要使用到的域名,如下图所示:

6

        此外,建议切换到 常规 选项卡为该证书定义一个好记并容易识别的 友好名称,检查无误后点击确定,如下图所示:

6-1

        将脱机请求的申请文件保存到本地。

7

        接下来打开浏览器访问证书服务器的证书自助服务站点,申请证书,如下图所示:

8

        单击 高级证书申请 链接,如下图所示:

9

        单击 使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请……,如下图所示:

10

        在提交证书申请页面中,将之前申请文件的内容拷贝到编码框中,模板选择为 Web 服务器,如下图所示:

11

        最后下载证书并导入计算机证书中即可!

12

分页: 1/1 第一页 1 最后页 [ 显示模式: 摘要 | 列表 ]