הקמנו מערכת, המספקת מס’ שירותים שונים המועברים בצורה מוצפנת לתחנות או לשרתים אחרים. ואנחנו, כל מה שרצינו זה לבדוק את המערכת ברמת מעבדה ועל כן העדפנו לא להנפיק Certificate מה-CA שלנו אלא להשתמש ב-Self SIgned Certificate
כפי שאתם וודאי יודעים, שירות ה-IIS7 מנפיק תעודות דיגיטליות אך ורק עם שם השרת שעליו הן הונפקו, במצב כזה, ישנם שירותים הזקוקים גם הם לתעודות דיגיטליות עם שמן על אותו השרת ובלי השם שלהן וקישורו לתעודה הדיגיטלית, לא יוכלו התחנות בצד השני לפענח את ההצפנה ולתקשר עם השרת.
כיום, ב-Server 2012 (וגם ב-Windows 8) באמצעות PowerShell ניתן ליצור תעודות
Self Signed SAN Certificate
להלן ה-Syntax בו יש להשתמש:
New-SelfSignedCertificate [-CertStoreLocation <String>] [-CloneCert <Certificate>] [-DnsName <String>] [-Confirm <SwitchParameter>] [-WhatIf <SwitchParameter>] [<CommonParameters>]
נניח וברצוננו להקים שרת Lync, כחלק מהדרישות אנו נדרש לעבוד עם תעודת SAN בה יש את השמות של השירותים. במקרה של Lync שמות השירותים יהיו:
Lync.agile.co.il
meet.agile.co.il
dialin.agile.co.il
admin.agile.co.il
|
PS C:\> New-SelfSignedCertificate –DnsName Lync.agile.co.il, meet.agile.co.il, dialin.agile.co.il, admin.agile.co.il -CertStoreLocation cert:\LocalMachine\My |
כפי שניתן לראות, הCertificate הונפק ישירות ל- MY, המייצג את תיקיית Personal בחשבון המחשב:
כדי שהתעודה תהיה מוסמכת יש להעביר אותה לתיקיה Trusted Root Certification Authority
במידה ונכנס לתעודה עצמה נוכל לראות גם את השמות הנוספים שכתבנו:
באופן אישי אני רוצה לומר… סוף סוף!
בהצלחה,
אורי הוסיט AgileIT