你没有看错,是申请免费的公网证书。虽然我们在下面讲述的是申请LYNC的证书,但是本方法也可以用来申请Exchange服务器、WEB服务器等的证书。如果你对证书已经证书还不是很了解,建议你先读我以前写过的一篇文章:http://ucworld.blog.51cto.com/811917/434901

以前我们部署LYNC的时候,我们都是采用了企业内部的CA(证书颁发机构)来为服务器颁发证书,这是完全是免费的,但是有一个不方便的地方就是,对于没有加域的电脑,我们需要手工把企业根证书的信任链加入到本地计算机的受信任的根证书颁发机构里。如果计算机全部是内网的,并且计算机数量不多,那还可以接受。 如果有来自于外网的计算机或者是计算机数量很多,那导入证书就是一场噩梦了。逃离这场噩梦的方法就是就把你的证书申请文件(也称为CSR)提交给那些商业CA吧,然后付费购买他们的商业证书。但是看看他们的价格,估计还是有很多企业觉得贵。

事情从去年9月份之后就发生了改变,我们发现在Windows 7里面受信任的根证书颁发机构多了一张来自StartCom的数字证书。别小看这个根证书,我们今天免费的话题就从这里开始了。

StartCom证书之所有会引起人们的好奇,其中最大的原因就是它可以对公众颁发免费的证书。以前有一些免费颁发证书的机构比如说CAcert,他们虽然颁发免费证书,但时由于系统里面没有他们的根证书,所以说意义也不是很大。而系统里面有了StartCom的根证书的话,我们可以使用它颁发的免费的证书来进行诸如加密或者验证身份之类的事情。

另外需要说的是在Firefox和Safari里面会附带有一些颁发免费证书的CA,而Windows里面,直到现在也是只有非常少非常少的CA支持免费证书,StarCom就是是其中一个。

实战免费公网证书申请_证书

Startcom证书链的截图

实战免费公网证书申请_证书_02

我们访问经过StartCom颁发证书加密的网站的时候,可以看到IE里面有这样的提示。

如果是Visata或者window xp的话就需要安装一下的证书补丁:

http://www.microsoft.com/downloads/en/details.aspx?familyid=19C4AE49-1127-4537-9E91-35F81D20BCE6&displaylang=en

(我也看到有的人说没有安装这个补丁就信任StartCom颁发的证书,估计是升级了IE的缘故,猜测升级到IE7或者IE8也可以解决问题)

我们可以到startcom的官网上去看看。其官方地址为:http://www.startcom.org/

The StartSSL? Free (Class 1) certificates are domain or email validated and mostly referred to as thefree certificates.Because the checks are performed mostly by electronic means, they require only minimal human intervention from our side.The validations are here to make sure, that the subscriber is the owner of the domain name, resp. email account.You may find additional information on this subject in ourCA policy.

红色部分是证书能够免费的原因。蓝色部分是要申请证书的条件:你要拥有这个域名和代表邮件账户。什么是代表邮件账户,以后的操作中你就会知道了。

实战免费公网证书申请_证书_03

这个几个StartCom提供的证书的比较,我们用免费的就好了。遗憾的是免费的证书不支持Multiple Domains,也就是我们经常说的SAN证书。如果要用支持SAN的证书,价格也是非常便宜的,如果大家申请过其它的证书就知道了SAN证书的价格真是非常的高。

下面我们就进入证书申请环节:

基本流程:

创建Startcom账号------>验证域名------->进入证书向导------>在相关服务器上生成证书申请文件(CSR)------->提交到证书向导内------>通过对方审核后获得证书------>下载证书------>导入相关的系统内------->完成。

从下面这个地址进入证书申请通道。

https://www.startssl.com/?app=12

实战免费公网证书申请_证书_04

我们点击快速通道吧。

实战免费公网证书申请_证书_05

输入自己的相关信息。(下面写着不要用qq.com后缀的邮箱,额。)然后系统会往邮箱发送一封验证邮件。里面有验证码。需要填写到下面的窗口里。

实战免费公网证书申请_证书_06

然后就等一些时间。

实战免费公网证书申请_证书_07

点击继续之后,系统会提示你他们需要审核你的信息,请耐心等候他们的回信。一般1-2个小时内就会收到回信了。

实战免费公网证书申请_证书_08

第二次收到对方的邮件的时候,里面有一个超级链接和一个验证码,点击链接后会出现上面的内容,输入验证码之后点击继续。

实战免费公网证书申请_证书_09

这个时候系统会为用户账号创建一个证书,以方便以后登陆StarCom网站。点击continue继续。

实战免费公网证书申请_证书_10

点击install安装系统为你创建的证书

实战免费公网证书申请_证书_11

安装好了之后,系统会有提示。点击确定关闭窗口。

实战免费公网证书申请_证书_12

在个人帐号里面可以看到系统给用户颁发的证书。

下面进入验证阶段:

进入系统的主界面,你会看到如下的菜单:

实战免费公网证书申请_证书_13

第一个是工具箱,我们在里面可以做很多操作,比如说证书下载之类的。现在还用不上。

第二个是证书申请向导

第三个就是验证向导。

我们先点击第三个的验证向导

实战免费公网证书申请_证书_14

我们可以看到有好几种方式来进行验证。我们选择域名来验证。

实战免费公网证书申请_证书_15

输入我们拥有的域名。这个域名必须要在公网有注册,不然就没有办法了。

实战免费公网证书申请_证书_16

前面的三个电子邮件地址就是代表邮件账户,最后那个是系统从Whois中检索出来的,也就是当时注册域名的时候留的电子邮件地址。如果大家的Exchange系统已经搭建好了,也有上述帐号,可以通过选择上面的帐号来验证。系统会往你选择邮箱发送验证邮件。我这里就选择我申请域名时的电子邮件地址了。

实战免费公网证书申请_证书_17

系统提示已经往选择邮件地址发送了验证码。快去检查邮件吧。

实战免费公网证书申请_证书_18

把从邮件里面获得的验证码填入,系统就会提示完成验证。

下面就可以进入证书申请向导了:

证书向导:

实战免费公网证书申请_证书_19

从上面我们可以看到证书使用的目标,我们选择常用的web 服务器SSL/TLS证书,然后点击继续。

实战免费公网证书申请_证书_20

这里会提示输入一个密码来生成密钥。由于我们采用提交证书申请文件的方式,所以选择Skip。

实战免费公网证书申请_证书_21

到这里的话,网站上的事情告一个段落。我们需要到服务器上去申请证书申请文件(简称CSR。)

以下步骤为在微软的LYNC服务器上申请证书,如果你要为Exchange服务器申请证书,或者是为WEB服务器申请证书,请参考微软的相关文档。

实战免费公网证书申请_证书_22

使用部署工具进入上述的页面,点击Run Again

实战免费公网证书申请_证书_23

以往我们都是选择第一个,现在就要选择第二个,意思就是采用离线的方式来申请证书。

实战免费公网证书申请_证书_24

选择一个地方来存放我们的申请。然后点击下一步继续。

实战免费公网证书申请_证书_25

填入一个有好的名字,然后选择下一步。这里我们勾中,标记密钥可以导出。

实战免费公网证书申请_证书_26

填入组织信息,这个比较随意。

实战免费公网证书申请_证书_27

国家选择China,其它都好说。然后点击下一步

实战免费公网证书申请_证书_28

上面是自动生成的SN和SAN,我们知道这个SAN肯定是没有办法用了,点击下一步吧。

实战免费公网证书申请_证书_29

勾中我们的SIP域名,然后点击下一步。然后就完成了证书申请步骤。

另外我们也可以直接用命令行来生成证书申请文件

Request-CSCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Output "C:\Users\administrator.LYNC\Desktop\cer_request.req" -Country CN -State "Sichuan" -City "Chengdu" -FriendlyName "lync certificate" -KeySize 2048 -PrivateKeyExportable $True -Organization "LYNCPBX Corp" -OU "IT Dept" -DomainName "sip.lyncpbx.net" -Verbose

 

我们可以打开刚才的证书申请文件看看,它其实就是一个文本文件。

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

 

上面的内容就是CSR。我们需要把这些内容提交到StartCom的网站上,在刚才那个输入框页面,把上述内容粘贴进去后,点击continue进入了下一个页面。

实战免费公网证书申请_证书_30

系统提示我们已经收到了证书请求,点击continue继续。

实战免费公网证书申请_证书_31

这里需要再次输入我们的域名,然后点击继续。

实战免费公网证书申请_证书_32

系统让我们输入一个子域名,其实就是在这里输入输入你LYNC池的名字。如果是为Exchange申请证书一般就是输入mail了,而为网站申请的话,那就是输入www了。然后点击continue继续。

实战免费公网证书申请_证书_33

系统提示已经收到足够信息了,并且提示我们证书上有两个主机名。点击continue继续。

实战免费公网证书申请_证书_34

然后就可以去休息了,等对方的通知邮件。

接下来就是下载证书过程了:

实战免费公网证书申请_证书_35

在收到对方的邮件之后,我们直接访问https://www.startssl.com/?app=12就可以进入网站,连用户和密码都不用,为什么?想想当初系统给我们创建的用户证书就知道怎么回事了。进入菜单后,我们直接点击Tool Box里面的Retrieve Certificate来下载证书。

实战免费公网证书申请_证书_36

选择我们申请的证书,这里我们可以看到,证书为1类证书,并且到期时间是2011年12月10日。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

 

收到的证书就是这个样子的。想看看里面是什么内容?当然可以,系统不是有一个certutil的工具吗?使用那个就可以了。

实战免费公网证书申请_证书_37
我们把上面的内容存为一个文本文件,存到服务器上。

实战免费公网证书申请_证书_38

再次进入LYNC的证书向导内,然后导入证书。

实战免费公网证书申请_证书_39

浏览到我们的证书文件,然后选择下一步。

实战免费公网证书申请_证书_40

导入成功,点击结束关闭窗口。

实战免费公网证书申请_证书_41

在向导窗口里面,我们选择Assign来指派刚才导入的证书。

实战免费公网证书申请_证书_42

在这里我们看到了由Startcom颁发的证书,也有以前从内部CA申请到的证书。我们选择StartCom颁发的那个证书,然后点击继续。

实战免费公网证书申请_证书_43

已经完成了,但是系统提示有个警告,打开这个警告看看,原来是提示我们其它的SAN名称没有。额,这个就很正常了,免费的么。

实战免费公网证书申请_证书_44

我们还可以进入证书管理工具里面看到系统给我们颁发的证书。时间就只有一年。

实战免费公网证书申请_证书_45

打开https://pool.lyncpbx.net/cscp进入LYNC管理工具。然后点击那个小锁看看,标识为StartCom颁发的。并且IE下面有一个钥匙的图标,意味着客户端到服务器之间为加密的。

然后我们再登录没有加域的电脑上登录LYNC客户端看看,你会发现不用导入根证书也可以正常登录。

到这里,就意味着证书申请过程以已经完成了。

综述:通过上述过程我们发现其实整个过程还是比较简单的。而且也告诉我们,有的时候,我们还是可以吃到免费的午餐的,虽然比起付费的大餐比起来,这份餐相对简单了些,但是本着够用就行的原则,我们还是可以满意的接受这份免费的午餐。

本文出自 “WW的统一沟通” 博客,谢绝转载!