开发者社区> 技术小甜> 正文

IIS:在多个Web服务器上管理多个证书

简介:
+关注继续查看

原文:https://technet.microsoft.com/en-us/library/jj871065.aspx



在大规模的Web环境管理证书是巨大的挑战。可能有上百台服务器拥有上百个SSL Web站点,都使用唯一的证书。在这么大规模的背景下,使用IIS管理器的图形界面来安装和维护证书是一个耗时的过程。


不用害怕,有更好的方法。无论你有2个或者200个Web服务器,Windows PowerShell会将数日、数周或数月的时间消耗减少为几分钟。贯穿部署、安装和配置证书和站点的SSL,有方法可以定位到即将过期的证书,以便你可以替换它们。


基本规则很简单:工作在IIS 7.5和IIS 8,但是你需要启用Windows PowerShell远程。例如,有两个Web服务器配置在一个负载均衡里,有它们自己的集群IP地址。每一个运行3个新的需要绑定证书的SSL Web站点。在代码里,我已经修改了集群IP地址为内部地址,而隐藏了实际的Web站点,但你能获得原理。我购买了新证书,并准备部署.pfx文件。这是站点的概要:

  • Shop.Company.com – IP Address 192.168.3.201 – Cert: shop.company.com.pfx

  • Update.Company.com – IP Address 192.168.3.202 – Cert: update.company.com.pfx

  • Register.Company.com – IP Address 192.168.3.203 – Cert: register.company.com.pfx


让我们开始在负载均衡的Web服务器部署和安装证书。



Part1:部署和安装


你需要开始做两件事 – 定义一个变量,包含Web服务器计算机名的的列表,另一个变量,到那些服务器上的每一台的Windows PowerShell远程会话。计算机名来自于一个文本文件,但是如果Web服务器是域成员,你可以从活动目录收集:

1
2
PS> $servers Get-Content c:\webservers.txt
PS> $session New-PsSession –ComputerName $servers


拷贝证书到远程服务器,以便于你安装它们。不用担心某人偷走了你的.pfx文件。在这个步骤完成前不要删除它们。需要说明的是,我的.pfx文件位于我客户端计算机的c:\sites\certpfx目录下:

1
2
PS> $servers foreach-Object{
copy-item -Path c:\sites\certpfx\*.* -Destination "\\$_\c$"}


CertUtil.exe是通过Windows PowerShell远程会话安装证书的伟大工具。在以下每一行,每个Web服务器将会安装证书。记住,有3个证书被安装(每个站点1个),所以我重复了这个命令:

1
2
3
4
5
6
PS> Invoke-command -Session $session {
certutil -p P@ssw0rd -importpfx c:\shop.company.com.pfx}
PS> Invoke-command -Session $session {
certutil -p P@ssw0rd -importpfx c:\update.company.com.pfx}
PS> Invoke-command -Session $session {
certutil -p P@ssw0rd -importpfx c:\register.company.com.pfx}


当你使用CertUtil.exe,你需要为.pfx指定密码。因为我在实践中执行,只需要输入密码。如果你创建一个脚本,我推荐将密码替换为从提示获取密码的变量,例如:

1
PS> $Cred = (Get-Credential).password


确保从远程Web服务器删除.pfx文件,以防任何可能的证书失窃:

1
PS> $servers foreach-object {Remove-Item -Path "\\$_\c$\*.pfx"}


随着在远程服务器上安装了证书,接下来为Web站点创建HTTPS绑定。



Part2:创建Web站点绑定


在负载均衡的每个服务器上的每个Web站点需要绑定HTTPS。使用WebAdministration模块的New-WebBinding,该功能将会成为一个管理单元。参数指定了站点名,协议,端口和站点的集群IP地址。SslFlags决定了用户绑定的证书的位置。

1
2
3
4
5
6
7
PS> Invoke-Command -session $session {Import-Module WebAdministration}
PS> Invoke-command -Session $session {
New-WebBinding -name shop -Protocol https -Port 443 -IPAddress 192.168.3.201 -SslFlags 0}
PS> Invoke-command -Session $session {
New-WebBinding -name update -Protocol https -Port 443 -IPAddress 192.168.3.202 -SslFlags 0}
PS> Invoke-command -Session $session {
New-WebBinding -name register -Protocol https -Port 443 -IPAddress 192.168.3.203 -SslFlags 0}


你刚安装的证书位于Windows证书存储中,选项有这些:

  •  0 – 在Windows证书存储中的一般证书

  •  1 – Server Name Indication (SNI)证书

  •  2 – 中央证书存储

  •  3 – 在中央证书存储中的SNI证书


还有最后一步要完成,常常容易忘记:连接证书到新的Web站点绑定。



Part3:绑定证书


最后一步令人迷惑。图形IIS管理器隐藏了这一步的处理,如果你想站点使用SSL正常工作,你必需得做。你需要连接证书到Web站点的绑定。


这是一个两阶段过程。首先,你得获得每个Web站点的证书的指纹,因此你可以创建一个合适的SSL绑定。记住,这个例子里我们有3个站点。我需要每个唯一证书的指纹。我选择存储指纹到3个不同的变量,因此,当我连接到Web站点时不会混淆:

1
2
3
4
5
6
7
8
9
10
11
12
PS> Invoke-Command -session $session {
$CertShop=Get-ChildItem -Path Cert:\LocalMachine\My |
where-Object {$_.subject -like "*shop*"} |
Select-Object -ExpandProperty Thumbprint}
PS> Invoke-Command -session $session {
$CertUpdate=Get-ChildItem -Path Cert:\LocalMachine\My |
where-Object {$_.subject -like "*update*"} |
Select-Object -ExpandProperty Thumbprint}
PS> Invoke-Command -session $session {
$CertRegister=Get-ChildItem -Path Cert:\LocalMachine\My |
where-Object {$_.subject -like "*register*"} |
Select-Object -ExpandProperty Thumbprint}


现在,是时候去使用指纹来收集完整的证书,并对每个Web站点分配为SSL绑定。以下命令使用Get-item来收集证书,然后New-item创建SSL绑定;IIS提供者IIS:\SslBindings使用以下绑定信息创建了SSL绑定:

1
2
3
4
5
6
7
8
9
PS> Invoke-Command -Session $session {
get-item -Path "cert:\localmachine\my\$certShop" |
new-item -path IIS:\SslBindings\192.168.3.201!443}
PS> Invoke-Command -Session $session {
get-item -Path "cert:\localmachine\my\$certUpdate" |
new-item -path IIS:\SslBindings\192.168.3.202!443}
PS> Invoke-Command -Session $session {
get-item -Path "cert:\localmachine\my\$certRegister" |
new-item -path IIS:\SslBindings\192.168.3.203!443}


在IIS里绑定信息正常显示为IPAddress:Port:Hostname (*:80:*)。然后,Windows PowerShell将冒号表示为路径指示器。当你使用Windows PowerShell来设置绑定信息,你需要使用感叹号代替。

现在绑定完成,你需要使用HTTPS来访问Web站点,描述如下:

1
2
3
PS> start iexplore https://shop.company.com
PS> start iexplore https://update.company.com
PS> start iexplore https://register.company.com



Part4:检查过期


有另一个有用的解决方案涵盖了刚才你所学的所有信息。对于你们中的大多数来说是一个普通的商业挑战:你的证书是否即将过期?


管理证书的部分工作是,确定是否即将过期,以便你可以替换它们。对于这个问题,你可以应用这个主题的技巧。只需要一行行来。你还需要对所有需要检查证书过期的Web服务器启用Windows PowerShell远程会话。


以下示例在localmachine证书存储中扫描了所有的证书。它将自定义变量ExpireInDays的过期属性notafter与当前时间比较。过滤器(Where-Object)检查了过期时间少于90天的证书。这个命令列出了服务器名和即将过期的证书:

1
2
3
4
5
PS> Invoke-Command -Session $session {
Get-ChildItem -Path Cert:\LocalMachine\My |
Select-Object -Property PSComputerName, Subject, @{
n='ExpireInDays';e={($_.notafter - (Get-Date)).Days}} |
Where-Object {$_.ExpireInDays -lt 90}}


使用所有你从这里学习到的,你可以成功并快速的使用Windows Powershell替换掉那些证书,即便规模很大。
















本文转自UltraSQL51CTO博客,原文链接:http://blog.51cto.com/ultrasql/1885148 ,如需转载请自行联系原作者




版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
WCF发布多个服务
using System; using System.Collections.Generic; using System.Linq; using System.Text; using WcfServiceLibrary1; using System.
580 0
mysql启动停止,一台服务器跑 多个mysql数据库
一、以非特权用户运行MySQL服务器在讨论如何启动MySQL服务器之前,让我们考虑一下应该以什么用户身份运行MySQL服务器。服务器可以手动或自动启动。如果你手动启动它, 服务器以你登录Unix(Linux)的用户身份启动,即如果你用paul登录Unix并启动服务器,它用paul运行;如果你用su命令切换到root,然后运启动服务器,则它以root运行。
1136 0
+关注
10140
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载