LCS的基本配置上篇我们已经说了,不过不安全,容易网络嗅探,我们现在来配置一个较安全的安全通道,来为它申请个证书。就可以做到了,下面我们来做一下。
拓扑图如下:
clip_p_w_picpath001
Firenze是Lcs的域控制器,Istanbul是Lcs服务器和域成员服务器。
基本步骤如下:
1. Istanbul即LCS服务器申请个证书。
2. 配置TLS
3. 创建DNS的SRV记录。
我们现在来做一下吧!先在firenze申请个服务器证书。在开始----设置------控制面板------添加或删除程序-------添加/删除windows组件------证书服务。选好后如下图:
clip_p_w_picpath002
这没什么是就可以了,接这安装就行,后如下图:
clip_p_w_picpath003
就选企业根,下一步,写上ITETCA,后如下图:
clip_p_w_picpath004
接着下一步,如下图:
clip_p_w_picpath005
选默认路径,下一步,如下图:
clip_p_w_picpath006
现在正在安装,马上就好,如下图:
clip_p_w_picpath007
完成了。
我们来强制刷新一下,不然一下出不来证书。在运行里打cmd,后进去打gpupdate / force这样证书就能很快生效。如下图:
clip_p_w_picpath009
下面我们来看看证书是否生效,在运行里打mmc,后如下图:
clip_p_w_picpath011
后点文件,添加/删除管理单元,后出现如下图:
clip_p_w_picpath012
后点添加,后选证书,后如下图:
clip_p_w_picpath013
点添加后,如下图:
clip_p_w_picpath014
选好计算机账户,后下一步,如下图:
clip_p_w_picpath015
选本地计算机,后完成。多了个证书,选证书----受信任的根证书颁发机构------证书,后就可以找到ITETCA这个我们刚创建的证书,如下图:
clip_p_w_picpath017
现在我们来拿Istanbul申请个证书,且记要在firenze上的IIS开起默认网站,不然就访问不到网站,在浏览器上打http:\\firenze\certsry,就可以申请了,出现如下图:
clip_p_w_picpath019
选申请一个证书,后如下图:
clip_p_w_picpath021
选高级证书申请,后如下图:
clip_p_w_picpath023
选创建并向此CA提交一个申请,选Web服务器,后如下图:
clip_p_w_picpath025
填一些基本的东西,后如下图:
clip_p_w_picpath027
提交后等会就出现下图:
clip_p_w_picpath029
后点安装此证书,后如下图:
clip_p_w_picpath031
2.配置TLS
LCS服务器申请证书后,就要利用申请到的证书配置TLS了。在Istanbul上的开始----程序-----管理工具中打开Live Communications Server 2005,如下图所示,我们发现目前Istanbul只在5060端口提供TCP连接:
clip_p_w_picpath033
我们来配置一个TCL的安全的5061端口的协议,打开Istanbul.lcstest.com的属性,后如下图:
clip_p_w_picpath034
选添加,后如下图:
clip_p_w_picpath035
把TCP换成TLS,后如下图:
clip_p_w_picpath036
后点选择证书,后如下图:
clip_p_w_picpath037
这就是我们刚才申请的证书了,确定就可以了。后如下图:
clip_p_w_picpath039
3.创建DNS的SRV记录。
现在LCS服务器可以提供TLS连接,但我们还要通过DNS的SRV记录向LCS客户端传递这个消息,在DNS服务器上打开DNS管理器,如下图所示,右键点击lcstest.com区域,选择新建其他新记录。创建SRV记录,后如下图:
clip_p_w_picpath040
选创建记录,配置后如下图:
clip_p_w_picpath041
我们将计算机重新启动一下,不然会受刚才的影响的。看看5061端口用上了吗?
clip_p_w_picpath043
OK,我们的TLS安全通道就安装好了。