有四种方式进行证书申请,这四种方式不仅适合skype/lync,也适合任何证书申请场景(除了第一种方式):

第一种方式:在SFB/LYNC安装界面中用证书向导自动生成与分配证书,操作最简单,但生成的证书导出时不能导出私钥。

clip_p_w_picpath001

第二种方式:通过MMC,参见本系列之http://huoxian.blog.51cto.com/9437529/1680132

clip_p_w_picpath002

第三种方式:通过web

通过web申请需要使用ssl加密连接,即采取https://ca/certsrv方式,默认没有https,请增加https连接,如下图。

clip_p_w_picpath003

第四种方式是今天主要讲的东西,因为前三种大家都比较熟悉,一看就懂,但有些场合必须用第四种方式,特别是某些非微软应用要用到证书时。前三种方式都是微软系统内置的证书申请方式,方便快捷,但有一个缺点,就是申请的证书的私钥是不能单独导出为一个独立的私钥文件的,而有时我们可能是需要这个东西的,比如我们用wireshark抓SSL包时,由于ssl包是加密的,我们无法分析,此时若能够使用对应私钥解密SSL包,则对我们排错是非常有帮助的(wireshark支持,后面讲到)。另外如果你配置过思科的产品,它也要求有独立的私钥与公钥文件才能合并生成证书,下面就讲讲第四种方法,基本步骤如下:

  1. 下载openssl,需要使用它。

我找了一个运行稳定的openssl版本,放在http://pan.baidu.com/s/1qW7lNv2上,你可以下载,同时里面还有另外两个文件,建议在win7上运行,安装时请先安装vc++2008,再安装openssl,然后把openssl.cnf拷贝到安装目录,openssl.cnf根据情况可以自行修改,后面会讲到。

clip_p_w_picpath004

clip_p_w_picpath005

另外设置PATH环境变量指向其bin文件夹。

二、进入bin目录,运行:

openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout private.key -config "C:\OpenSSL-win32\openssl.cnf"

clip_p_w_picpath006

request.csr是证书请求文件,private.key是私钥。我这里要申请一个多域名证书,在openssl.conf里面进行了相应配置。

clip_p_w_picpath007

二、用web方式进行申请:

clip_p_w_picpath008

clip_p_w_picpath009

clip_p_w_picpath010

clip_p_w_picpath011

把第一步生成的request.csr里面的内容复制到“保存的申请”框中,证书模板选自定义好的计算机模板,最后提交。

clip_p_w_picpath012

clip_p_w_picpath013

最后下载BASE64编码的证书。默认会是一个名叫certnew.cer的证书,双击查看一些信息。

clip_p_w_picpath014

三、公钥私钥的合成

记住上面下载的certnew.cer只是一个公钥证书,没有包含私钥,我们可以把第一步的私钥和公钥合并成一个,以便把申请的证书移植到其他计算机并导入。

合并方法:

openssl pkcs12 -export -in certnew.cer -inkey private.key -out cme.pfx

也可以在线网页合成:

http://www.myssl.cn/openssl/MergePEM.asp

四、导入上面的pfx文档到需要的计算机

clip_p_w_picpath015