我们有 30 多台 RDS 服务器并使用硬件负载平衡器。我正在尝试弄清楚如何从我们的内部 CA 生成 UCC 证书。
有人能给我指点一下吗?需要为所有 RDS 服务器名称设置别名,这样当用户跳转服务器时,他们就不会一直看到受信任的证书屏幕,因为他们连接的服务器与他们指向的服务器名称不同(负载均衡器)
答案1
UCC 证书更像是一个营销术语,而不是技术上不同类型的证书。UCC 证书实际上只是一个普通的 X509 证书,上面有一堆 SAN(主题备用名称)。因此,您可以使用自己的内部认证机构轻松模仿此类证书的功能。如果您拥有 CA,您可以让它颁发带有您能想到的任意 CN 和 SAN 组合的证书。
“UCC 证书”和“SAN 证书”本质上是同一件事。
如果我是你,我会从你的 CA 复制一份服务器身份验证证书模板,并向你的 RDS 服务器组授予手动注册权限。我会确保修改模板以要求提供其他信息,以便你有机会在注册时输入其他 SAN(可能是 DNS 名称)。我还会让私钥可导出,这样你就可以在所有的 RDS 服务器之间共享该证书,或者根据具体情况将其上传到硬件负载平衡器。
这是您的客户尝试从您的企业 CA 注册证书时看到的屏幕(类似 - 仅作为示例)。您可以通过转到 mmc -> 添加 snapin -> 证书,然后右键单击并选择注册来到达此处。
客户端在此屏幕上看到的内容取决于您的企业 CA 配置为提供的证书模板(以及他有权访问哪些内容)。
如果您的 CA 和客户端未加入同一个域,则您需要通过证书服务 Web 注册。它提供了一个老式的 Web 界面来请求证书。
您可能需要远程桌面服务器身份验证 EKU,而不是服务器身份验证 EKU。请参阅此处的详细信息:http://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html