IIS:在多个Web服务器上管理多个证书
原文:https://technet.microsoft.com/en-us/library/jj871065.aspx
在大规模的Web环境管理证书是巨大的挑战。可能有上百台服务器拥有上百个SSL Web站点,都使用唯一的证书。在这么大规模的背景下,使用IIS管理器的图形界面来安装和维护证书是一个耗时的过程。
不用害怕,有更好的方法。无论你有2个或者200个Web服务器,Windows PowerShell会将数日、数周或数月的时间消耗减少为几分钟。贯穿部署、安装和配置证书和站点的SSL,有方法可以定位到即将过期的证书,以便你可以替换它们。
基本规则很简单:工作在IIS 7.5和IIS 8,但是你需要启用Windows PowerShell远程。例如,有两个Web服务器配置在一个负载均衡里,有它们自己的集群IP地址。每一个运行3个新的需要绑定证书的SSL Web站点。在代码里,我已经修改了集群IP地址为内部地址,而隐藏了实际的Web站点,但你能获得原理。我购买了新证书,并准备部署.pfx文件。这是站点的概要:
Shop.Company.com – IP Address 192.168.3.201 – Cert: shop.company.com.pfx
Update.Company.com – IP Address 192.168.3.202 – Cert: update.company.com.pfx
Register.Company.com – IP Address 192.168.3.203 – Cert: register.company.com.pfx
让我们开始在负载均衡的Web服务器部署和安装证书。
Part1:部署和安装
你需要开始做两件事 – 定义一个变量,包含Web服务器计算机名的的列表,另一个变量,到那些服务器上的每一台的Windows PowerShell远程会话。计算机名来自于一个文本文件,但是如果Web服务器是域成员,你可以从活动目录收集:
PS> $servers = Get-Content c:\webservers.txt PS> $session = New-PsSession –ComputerName $servers
拷贝证书到远程服务器,以便于你安装它们。不用担心某人偷走了你的.pfx文件。在这个步骤完成前不要删除它们。需要说明的是,我的.pfx文件位于我客户端计算机的c:\sites\certpfx目录下:
PS> $servers | foreach-Object{ copy-item -Path c:\sites\certpfx\*.* -Destination "\\$_\c$"}
CertUtil.exe是通过Windows PowerShell远程会话安装证书的伟大工具。在以下每一行,每个Web服务器将会安装证书。记住,有3个证书被安装(每个站点1个),所以我重复了这个命令:
PS> Invoke-command -Session $session { certutil -p P@ssw0rd -importpfx c:\shop.company.com.pfx} PS> Invoke-command -Session $session { certutil -p P@ssw0rd -importpfx c:\update.company.com.pfx} PS> Invoke-command -Session $session { certutil -p P@ssw0rd -importpfx c:\register.company.com.pfx}
当你使用CertUtil.exe,你需要为.pfx指定密码。因为我在实践中执行,只需要输入密码。如果你创建一个脚本,我推荐将密码替换为从提示获取密码的变量,例如:
PS> $Cred = (Get-Credential).password
确保从远程Web服务器删除.pfx文件,以防任何可能的证书失窃:
PS> $servers | foreach-object {Remove-Item -Path "\\$_\c$\*.pfx"}
随着在远程服务器上安装了证书,接下来为Web站点创建HTTPS绑定。
Part2:创建Web站点绑定
在负载均衡的每个服务器上的每个Web站点需要绑定HTTPS。使用WebAdministration模块的New-WebBinding,该功能将会成为一个管理单元。参数指定了站点名,协议,端口和站点的集群IP地址。SslFlags决定了用户绑定的证书的位置。
PS> Invoke-Command -session $session {Import-Module WebAdministration} PS> Invoke-command -Session $session { New-WebBinding -name shop -Protocol https -Port 443 -IPAddress 192.168.3.201 -SslFlags 0} PS> Invoke-command -Session $session { New-WebBinding -name update -Protocol https -Port 443 -IPAddress 192.168.3.202 -SslFlags 0} PS> Invoke-command -Session $session { New-WebBinding -name register -Protocol https -Port 443 -IPAddress 192.168.3.203 -SslFlags 0}
你刚安装的证书位于Windows证书存储中,选项有这些:
0 – 在Windows证书存储中的一般证书
1 – Server Name Indication (SNI)证书
2 – 中央证书存储
3 – 在中央证书存储中的SNI证书
还有最后一步要完成,常常容易忘记:连接证书到新的Web站点绑定。
Part3:绑定证书
最后一步令人迷惑。图形IIS管理器隐藏了这一步的处理,如果你想站点使用SSL正常工作,你必需得做。你需要连接证书到Web站点的绑定。
这是一个两阶段过程。首先,你得获得每个Web站点的证书的指纹,因此你可以创建一个合适的SSL绑定。记住,这个例子里我们有3个站点。我需要每个唯一证书的指纹。我选择存储指纹到3个不同的变量,因此,当我连接到Web站点时不会混淆:
PS> Invoke-Command -session $session { $CertShop=Get-ChildItem -Path Cert:\LocalMachine\My | where-Object {$_.subject -like "*shop*"} | Select-Object -ExpandProperty Thumbprint} PS> Invoke-Command -session $session { $CertUpdate=Get-ChildItem -Path Cert:\LocalMachine\My | where-Object {$_.subject -like "*update*"} | Select-Object -ExpandProperty Thumbprint} PS> Invoke-Command -session $session { $CertRegister=Get-ChildItem -Path Cert:\LocalMachine\My | where-Object {$_.subject -like "*register*"} | Select-Object -ExpandProperty Thumbprint}
现在,是时候去使用指纹来收集完整的证书,并对每个Web站点分配为SSL绑定。以下命令使用Get-item来收集证书,然后New-item创建SSL绑定;IIS提供者IIS:\SslBindings使用以下绑定信息创建了SSL绑定:
PS> Invoke-Command -Session $session { get-item -Path "cert:\localmachine\my\$certShop" | new-item -path IIS:\SslBindings\192.168.3.201!443} PS> Invoke-Command -Session $session { get-item -Path "cert:\localmachine\my\$certUpdate" | new-item -path IIS:\SslBindings\192.168.3.202!443} PS> Invoke-Command -Session $session { get-item -Path "cert:\localmachine\my\$certRegister" | new-item -path IIS:\SslBindings\192.168.3.203!443}
在IIS里绑定信息正常显示为IPAddress:Port:Hostname (*:80:*)。然后,Windows PowerShell将冒号表示为路径指示器。当你使用Windows PowerShell来设置绑定信息,你需要使用感叹号代替。
现在绑定完成,你需要使用HTTPS来访问Web站点,描述如下:
PS> start iexplore https://shop.company.com PS> start iexplore https://update.company.com PS> start iexplore https://register.company.com
Part4:检查过期
有另一个有用的解决方案涵盖了刚才你所学的所有信息。对于你们中的大多数来说是一个普通的商业挑战:你的证书是否即将过期?
管理证书的部分工作是,确定是否即将过期,以便你可以替换它们。对于这个问题,你可以应用这个主题的技巧。只需要一行行来。你还需要对所有需要检查证书过期的Web服务器启用Windows PowerShell远程会话。
以下示例在localmachine证书存储中扫描了所有的证书。它将自定义变量ExpireInDays的过期属性notafter与当前时间比较。过滤器(Where-Object)检查了过期时间少于90天的证书。这个命令列出了服务器名和即将过期的证书:
PS> Invoke-Command -Session $session { Get-ChildItem -Path Cert:\LocalMachine\My | Select-Object -Property PSComputerName, Subject, @{ n='ExpireInDays';e={($_.notafter - (Get-Date)).Days}} | Where-Object {$_.ExpireInDays -lt 90}}
使用所有你从这里学习到的,你可以成功并快速的使用Windows Powershell替换掉那些证书,即便规模很大。