从认证中心 (CA) 生成 SSL 证书后,需要将这些证书安装在域服务器上的相应路径上。在大多数机构中,此过程不是自动流程,管理员必须手动将每个证书部署到其相应域服务器上。此过程可能令人望而生畏,特别是对于处理大量 SSL 证书的机构而言。有时,需要在多个服务器上部署相同的证书时,该过程甚至会变得更加复杂和耗时。
使用 Key Manager Plus 可自动执行此过程以快速将证书部署到相应的域服务器。要将存储库中存储的证书部署到其相应域服务器,您只需提供基本细节,例如,服务器名称、用户名、密码、端口号以及证书在服务器上的目标路径。一旦您指定了服务器详细信息,Key Manager Plus 就会将证书部署到指定的位置,并且可以方便地部署到其他服务器上,这些操作都是通过单一界面完成的。
此外,Key Manager Plus 会根据您选择的时间间隔生成关于证书部署的定期报告。针对单一域服务器或多个服务器上的证书部署运行报告。
SSL 证书部署
通常,从证书颁发机构 (CA) 获取的 SSL 证书存储在存储库中,然后手动部署在相应的目标系统上。密钥管理器升级版会自动将存储库中的证书部署到正确的目标系统上。您可以使用密钥管理器升级版根据您的要求单独或批量地在各种系统上部署证书。此外,还可以使用密钥管理器升级版代理在驻留在密钥管理器升级版服务器所在的域之外的外围安全区域中的服务器上部署证书。
在不同目标系统上部署证书的步骤
请按照以下步骤在各种目标系统上部署 SSL 证书:
- 导航到“SSL >>证书”。
- 选中要部署的证书旁边的复选框。
- 单击“部署”。
- 在下拉列表中,选择所需的服务器类型:
- Windows
- MS Certificate Store
- Internet Information Services (IIS)
- IIS Binding
- Linux
- Browser
- ManageEngine MDM
- AWS-ACM
- LoadBalancer
1、若要在 Windows 系统、MS 证书存储和因特网信息服务 (IIS) 上部署证书,请使用域管理员帐户作为密钥管理器升级版的服务登录帐户。
2、如果使用域服务帐户运行密钥管理器升级版,请确保已在本地管理员组中配置了该帐户。
窗口服务器
- 若要在窗口服务器上部署证书,请选择服务器类型为“窗口”。
- 根据需要选择“部署类型”为“单个”、“多个(服务器)”或“代理”。
i. 对于单服务器部署,请提供所需的详细信息:服务器名称、用户名、密码、路径。 您可以选择启用证书以选择文件类型并提及证书文件名或/并启用 JKS/PKCS 选择密钥库类型并提及存储文件名。
ii. 如果选中“使用密钥管理器 Plus 服务帐户凭据进行身份验证”复选框,则无需单独提供用户名和密码,因为用于密钥管理器 Plus 的服务帐户凭据也将在此处使用。
iii. 对于多服务器部署,请上传包含以下任意一组详细信息的 .csv 文件:服务器名称、用户名、密码、路径、证书文件名(可选)、密钥库文件名(可选)。您可以选择启用证书以选择文件类型或/并启用 JKS/PKCS 以选择密钥库类型。
请按以下格式改用 Key Manager Plus 服务帐户凭据:服务器名称、SERVICE_AUTH、路径、证书文件名(可选)、密钥库文件名(可选)。
3. 如果选择部署类型作为代理,请从选择代理下拉列表中选择 KMP 代理的主机名,输入代理计算机中的目标文件路径。如果未提及目标路径,则代理安装路径将作为默认路径。您可以选择启用证书以选择文件类型并提及证书文件名或/并启用 JKS/PKCS 选择密钥库类型并提及存储文件名。
4. 单击“保存”以保存代理详细信息。
提供详细信息后,单击“部署”。证书部署在指定路径中的指定服务器/代理上。
微软证书存储
-
若要在 MS 证书存储上部署证书,请选择“Microsoft 证书存储”作为服务器类型。
-
根据需要选择“部署类型”为“单个”、“多个(服务器)”或“代理”。
i. 对于单服务器部署,请提供所需的详细信息:服务器名称、用户名、密码、路径。
ii. 如果选中“使用密钥管理器 Plus 服务帐户凭据进行身份验证”复选框,则无需单独提供用户名和密码,因为用于密钥管理器 Plus 的服务帐户凭据也将在此处使用。
iii. 对于多服务器部署,请上传包含以下任意一组详细信息的.csv文件:服务器名称、用户名、密码、路径。
请按以下格式改用密钥管理器升级版服务帐户凭据:服务器名称、SERVICE_AUTH、路径。
iv.如果选择“部署类型”作为“代理”,请从“选择代理”下拉列表中选择 KMP 代理的主机名。
v.选择“计算机和/或用户帐户”以将证书部署到所选帐户。
vi. 现在,选择“部署后从 MS 存储区启用私钥导出”以从证书存储区导出私钥。
- 单击保存以保存代理详细信息。提供详细信息后,单击“部署”。
所选证书部署在“个人证书”中。
互联网信息服务
按照以下步骤在 IIS 服务器上部署证书。但是,此过程只会将证书部署到服务器。IIS 绑定必须单独完成。
要在 Microsoft IIS 服务器上部署证书,请选择具有密钥库文件的证书,然后单击“部署>>互联网信息服务 (IIS)” 。
根据需要选择“部署类型”为“单个”、“多个服务器”或“代理”。
i. 对于单服务器部署,请提供所需的详细信息:服务器名称、用户名、密码、路径。
ii. 如果选中“使用密钥管理器 Plus 服务帐户凭据进行身份验证”复选框,则无需单独提供用户名和密码,因为用于密钥管理器 Plus 的服务帐户凭据也将在此处使用。
iii. 对于多服务器部署,请上传包含以下任意一组详细信息的.csv文件:服务器名称、用户名、密码、路径。
请按以下格式改用密钥管理器升级版服务帐户凭据:服务器名称、SERVICE_AUTH、路径。
-
指定需要将证书部署到的 IIS 服务器的名称,提供用户帐户凭据,并指定服务器中必须放置证书的路径。
-
单击“部署”。现在,选定的证书将部署到指定的 IIS 服务器。
IIS 绑定
按照以下步骤将证书部署到 IIS 服务器,并将证书绑定到该服务器中运行的站点。
注意:仅当 IIS 服务器和密钥管理器升级版位于启用了.Net Framework 版本 4或更高版本的同一域中时,部署类型单个的 IIS
绑定才有效。但是,如果 IIS 服务器驻留在外围安全区域中,请选择“部署类型”作为“代理”,然后继续执行下面给出的相同步骤。
1.若要在微软 IIS 服务器上部署证书并执行 IIS 绑定,请选择服务器类型作为“IIS 绑定”。
2.如果选择部署类型为“单一”,请输入所需的详细信息:“服务器名称”、“用户名”、“密码”。
3.指定需要将证书部署到的有效 IIS 服务器的名称,并提供用户帐户凭据。
4.指定服务器中必须放置证书的路径。
5.如果选中“使用密钥管理器 Plus 服务帐户凭据进行身份验证”复选框,则无需单独提供用户名和密码,因为此处也将使用用于密钥管理器 Plus 的服务帐户凭据。
6.如果选择“部署类型”为“多(服务器)”,请单击“浏览”上载文件,然后单击“更新绑定”。
您可以使用三种不同的方式登录:使用凭据、使用服务身份验证或使用代理。以下列格式上传包含内容的文件:
- 对于单一证书选择,
<服务器名称>、<证书>、<网站名称>、<绑定信息>、<服务器凭据><尝试路径>
(和/或)
<服务器名称>、<SERVICE_AUTH>、<网站名称>、<绑定信息>、<站路径>
(和/或)
<服务器名称>、、<网站名称>、 <绑定信息> - 对于多个证书选择,请按上述格式
包含<域名>示例:测试服务器、凭据、测试.com、默认网站、*:443:我的主机、测试服务器、测试客户端、C:\ - 对于具有相同公用名的多个证书,请按上述格式包含<域名>以及<序列号>。
示例:测试服务器,SERVICE_AUTH,测试.com,se123245d,默认网站,*:443:我的主机,C:\
7.如果 IIS 服务器驻留在外围安全区域中,请选择“部署类型”作为“代理”。从下拉列表中选择一个代理。单击“获取网站和绑定”以列出所选服务器中可用的所有网站及其各自的绑定。在“站点名称”字段中输入站点的名称,单击“获取绑定”以列出可用于该站点的所有绑定。
8.在此处,若要添加新绑定,请单击“添加新绑定”并输入“主机名”、“端口”、“IP 地址”等属性,然后选择证书。选中“配置和更新 IIS 绑定时需要服务器名称指示”复选框。新添加的绑定将显示在“设置”下,>> SSL >> IIS 绑定。 在密钥管理器 Plus 中添加的新站点绑定不会反映在 IIS 服务器中,直到使用“部署和绑定”选项将它们部署到服务器。
9.若要填充与 IIS 服务器关联的站点列表,请单击“获取站点名称”,然后从下拉列表中选择一个站点。若要在“站点名称”字段中手动输入站点名称,请单击“隐藏列表”,键入站点名称,然后单击“获取绑定”选项。
10.手动输入站点的主机名、IP 地址和端口。
11.选择“重新启动站点”选项以自动重新启动站点。
12.单击“添加绑定/更新绑定”以在 IIS 服务器中指定的路径处部署证书并完成 IIS 站点绑定。
13.若要更新多个绑定,请从列表中选择所需的绑定,然后单击“保存”。转到“设置”>> SSL >> IIS 绑定“,选择绑定,然后单击”部署和绑定“。
若要保存指定的详细信息并在以后部署证书,请单击“保存”。服务器详细信息和相应的站点详细信息将显示在“设置”>> SSL >> IIS 绑定下。
若要编辑绑定详细信息,请单击服务器旁边的“编辑”图标。在打开的窗口中,修改任何给定的详细信息,然后单击保存。现在,选择服务器名称,然后单击顶部栏中的“部署和绑定”。所选证书将部署在服务器上,IIS 绑定将在 IIS 服务器中更新。
上面 IIS 绑定表中显示的站点和 IIS 绑定的详细信息是密钥管理器升级版的本地信息。若要使用 IIS 服务器中的条目更新此处的绑定条目,请选择所需的条目,然后单击“更新绑定”。
从上表中删除条目不会从 IIS 服务器中删除任何数据。
Linux 服务器
1.要在 Linux 服务器上部署证书,请选择服务器类型为“Linux”。
2.根据需要选择“部署类型”作为“单个或多个服务器”。
i. 对于单服务器部署,请提供所需的详细信息:服务器名称、端口(默认分配端口 22)、用户名、密码、路径。 您可以选择启用证书以选择文件类型并提及证书文件名或/并启用 JKS/PKCS 选择密钥库类型并提及存储文件名。
ii. 对于多服务器部署,请上传包含以下任意一组详细信息的 .csv 文件:服务器名称、端口、用户名、密码、路径、证书文件名(可选)、密钥库文件名(可选)。您可以选择启用证书以选择文件类型或/并启用 JKS/PKCS 以选择密钥库类型。
3.您还可以通过选择“导入密钥”凭据类型,为无密码服务器选择基于密钥的身份验证。在目标系统中上传与所需用户帐户关联的私钥,并提供密钥密码。
4.提供详细信息后,单击“部署”。证书部署在指定路径中的指定服务器上。
笔记:
基于密钥的身份验证选项仅适用于单服务器部署类型。
在基于密钥的身份验证期间上载的私钥仅供一次性使用,不会存储在密钥管理器升级版数据库中的任何位置。如果要将其添加到密钥管理器 Plus 存储库,可以使用 SSH 选项卡中的“导入”选项手动执行此操作。
浏览器
1.若要在浏览器上部署证书,请选择“浏览器”作为部署类型。
2.根据需要选择“服务器类型”作为“窗口”、“Linux”或“Mac 操作系统”。
3.如果服务器类型为窗口,
提及服务器名称、用户名、密码和路径。
如果选中“使用密钥管理器 Plus 服务帐户凭据进行身份验证”复选框,则无需单独提供“用户名”和“密码”,因为此处也将使用用于密钥管理器 Plus 的服务帐户凭据。
4.如果服务器类型为Linux,
- 输入服务器名称、端口、用户名、密码和路径。
- 选择要在其中部署证书的所需浏览器(火狐浏览器或/和浏览器)。
- 如果您选择火狐浏览器,请提及配置文件名称。 单击“获取配置文件”以从可用的配置文件中进行选择。
- 提及NSS 工具路径。
注意:“获取配置文件”选项从以下位置获取配置文件.ini文件中的所有配置文件路径:
Windows:应用程序数据\Mozilla\火狐\配置文件.ini
Linux: H O M E / . m o z i l l a / 火狐 / 配置文件 . i n i M a c : HOME/.mozilla/火狐/配置文件.ini Mac: HOME/.mozilla/火狐/配置文件.iniMac:HOME/库/应用程序支持/火狐/配置文件.ini
注意: ?在 Linux 中,浏览器和火狐浏览器使用 NSS 共享数据库来管理证书。可以使用以下命令安装此 NSS 工具: 对于
Chrome,证书将部署在 NSS 数据库中的以下路径中:$HOME/.pki/nssdb。
?对于火狐浏览器,配置文件文件夹包含用于管理证书的 NSS 数据库。
您还可以通过选择“导入密钥”凭据类型,为无密码服务器选择基于密钥的身份验证。在目标系统中上传与所需用户帐户关联的私钥,并提供密钥密码。
5.如果服务器类型是 Mac OS
- 输入服务器名称、端口、用户名、密码和路径。
- 选择要在其中部署证书的所需浏览器(火狐浏览器或/和浏览器/浏览器)。
- 如果选择“火狐”,请提及配置文件名称和 NSS 工具路径。 单击“获取配置文件”以从可用的配置文件中进行选择。
- 如果您选择Safari/Chrome,则可以选取“使用钥匙串登录密码”或提及“登录钥匙串密码”。
注意:对于“Safari 浏览器”和“浏览器”,Mac OS 会使用“系统钥匙串”来管理证书。对于火狐浏览器,来自配置文件的 NSS
数据库管理证书。要安装 NSS 实用程序,请使用以下命令:酿造安装 nss。
6.单击“部署”。
现在,您已成功将证书部署到所选浏览器。