我最近在我们的论坛上看到了很多关于如何在Windows机器上生成和管理SSL证书的请求，我个人也收到了一些请求。它似乎一直是热门话题之一，尤其是在公共互联网连接上提供的所有服务，以及所有关于安全漏洞的可怕故事。无论您愿意在internet上执行和发布什么"web"服务，SSL证书都可以保护作为提供者的您以及连接到它的用户。部署正确配置的SSL证书是非常重要的，但许多证书并没有这样做。为什么？可能是因为只有Microsoft IIS（Internet信息服务）有一个简单的向导来完成这些任务。但是，如果您遵循这个快速教程，SSL证书将很容易安装在任何Windows机器上，我们没有IIS。如果您正在使用或计划使用Veeam软件解决方案，您可以使用SSL证书来保护对Enterprise Manager或Cloud Connect的访问。一些软件产品可以生成和使用自签名证书。这是一种快速而简单的方法来完成部署和测试它们，但不会给用户带来安全性，因为用户无法验证证书，因此无法验证服务提供商的真实性。当用户连接到这些服务之一时，这是使用自签名证书时的结果：为了正确地保护服务并为其用户提供有保证的安全性，您应该使用由internet浏览器和操作系统认可的证书颁发机构之一颁发的适当的、公认的证书。步骤1:创建证书签名请求（CSR）在公钥基础设施（PKI）中，证书签名请求（CSR或证书请求）是由"申请人"（在我们的例子中是运行服务的服务提供商）创建的文本，证书颁发机构返回已签名的证书。这就像发出一个订单，然后按照订单中的指示进行处理，最终交付所订购的货物。在创建CSR时，申请者还生成一个密钥对，并对私钥保密。CSR包含有关申请者的信息，如公司信息和服务DNS，这些信息是使用申请者的私钥签名的。CSR还包含申请人选择的公钥。您应该做的第一个操作是确定服务将侦听的公共"完全限定域名"；这将是用户将联系以使用该服务的DNS名称；就像打开一个网站一样。此名称应与DNS中使用的名称和CSR中使用的名称相匹配。要获得真实的证书，必须使用真实的域名。所以，在本教程中，我使用了我博客的域名virtualtothecore.com，FQDN为：cc.virtualtothecore.com为了生成CSR，在Windows服务器上，首先需要用文本编辑器创建一个.inf文件。这个文件（可以称为请求.inf)应包含如下示例所示的文本：;----------------- 请求.inf-----------------[版本]签名="$Windows NT$"[新请求]主题="CN=cc.virtualtothecore.com，OU=IT，O=Skunkworks，L=Milan，S=Lombardy，C=IT"替换此行的属性键规范=1键长=2048；可以是2048、4096、8192或16384。；较大的密钥大小更安全，但是；对性能的影响更大。Exportable=真FriendlyName="抄送"MachineKeySet=真SMIME=错误PrivateKeyArchive=错误UserProtected=假UseExistingKeySet=假ProviderName="Microsoft RSA SChannel加密提供程序"提供程序类型=12请求类型=PKCS10密钥用法=0xa0[增强keyusageextension]OID=1.3.6.1.5.5.7.3.1；用于服务器身份验证[请求属性]；SAN="dns=FQDN_您需要的&dns=您需要的其他FQDN" 红色部分将根据您服务的具体价值以及您公司的一些信息进行更改。顺便说一句，臭鼬工厂是我给我家实验室起的名字。编辑配置文件后，可以将其保存在一个有用的位置，例如专用文件夹c:\certificates。然后，打开具有管理员权限的命令提示符（右键单击并选择"以管理员身份运行"），进入c:\certificates并运行以下命令：certreq-新建请求.inf证书请求.txt如果你打开证书请求.txt使用文本编辑器的文件，其内容如下：-----开始新证书申请-----MIID9JCCAT4Caqawdtelmakga1ebhmcsvqxetapbgNVbagmcExvbwjhcmr5mq8wDQYDVQQHDAZWYXJlc2UxEzARBgNVBAoMClNrdW5rd29ya3MxCzAJBgNVBAsMAklUmsawgydvqqdddbdjy52axj0dwfsdg90agvjb3jllmnvbtccasiwdqyjkozihvcnAQEBBQADGGEPADCCAQOOCGGEBAJUBKDUH0XQFJBNT2RYIJDN5Z8EUMM4ZHYD4CFBD2eCXAnfaskOc3F9eW9zP1KMk0Z/8K9GfezZDkMcbno5hnIkuwBcLoHJUeiWQDm1adutxvgvo1ro2teqjes5cbkb7v漏电保护器3cq26rxeparx1mjdmcovyk2wef9tjniUIFr1Tadw/nwclqww4zgbsdjl0lftuqe0vmxjcizc1ezqxppsxsansdaizecjzhUSu0wA5nZL9pltvO3593Kqr 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公司==-----结束新证书请求-----这是您将使用的生成的CSR。第2步：获取签名证书正确地创建了证书请求后，就可以从证书颁发机构获取签名证书了。有几种在线服务可以让您获得证书，其中一些服务还提供免费的时间限制的证书，这些证书对免费测试真实的SSL连接非常有用。所涉及的步骤因所选的证书颁发机构而异，但它们通常包括验证CSR、通过whois协议对注册域进行检查以收集注册者的电子邮件地址，以及发送到此电子邮件以验证请求的真实性的验证过程。不管程序有什么不同，最终结果都是一份签署的证书。它通常可以文本格式检索或下载，其内容如下：-----开始证书-----MIIFLTCCBBWgAwIBAgIQLgiJg4U3yijkhjzA5FK1VjANBgkqhkiG9w0BAQUFADByMQswcqydvqqgewjhqjebmbkga1ecbmsr3jlyxrlcibnyw5jagvzdgvymrawdgydvqqhewdtywxmb3jkmrowgaydvqkexfdt01pre8gq0egtgltaxrlzdeymbygagueAXMPRXNZW50AWFSU1NMIENBB4XDTE0MDGWNTAWMDAWMDAWMFOXDTE0MTEWMZIZNTK1ovowwdehmb8ga1ecxmyrg9tywluienvbnryb2wgvmfsawrhdgvkmrewdwydvql电梯段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拉木孜早xvkmxrpiakcreekqg+trjpd0tl9unook6ywph/HQX2W7jSlm6HJRvNFIGNH6V2RETITSNTAFDVHPTJQ0OC+N/sRGvvOhKMu/-----结束证书-----步骤3:安装签名证书回到Windows服务器，在c:\certificates中创建一个空文本文件并调用它证书.crt. 用文本编辑器打开它，并将从证书颁发机构收到的证书文本粘贴到其中。然后，再次打开高权限命令提示符，进入c:\certificates目录，运行以下命令：certreq–接受证书.crt执行命令后，证书将存储在Windows操作系统的本地证书存储中。要管理此证书和将来的证书，您可以使用证书MMC（Microsoft管理控制台），它允许您以图形方式访问证书存储。配置控制台时，只需选择"计算机帐户"，然后选择"本地计算机"。导入的证书（如本教程中创建的证书）存储在"个人证书"下。第4步：Veeam Cloud Connect的实际应用现在让我们看看如何在真正的塞纳里奥使用这个证书。在Veeam备份和复制中，您可以保护云连接部署。要使用证书，请进入Veeam控制台的Cloud Connect Infrastructure节点，然后选择"Manage Certificates"。首先，选择"从证书存储中选择证书"：在下面的屏幕中，选择浏览证书存储。在这里，您展开"我的"树，您将看到导入的证书。你选择它。向导的下一步还将显示证书的指纹；这可以发送给客户以进行其他验证。向导完成，证书准备就绪