使用 Linux CA 為 Windows IIS 網站簽署憑證

說明

此篇以 Windows 應用程式 Citrix XenApp 為例，由於 XenApp 使用 Windows IIS 作為網站伺服器，現要啟用 SSL 機制，必須建立相關的憑證檔。

既然是 Windows 應用程式，怎不用內建的 Certificate Service 來建立及發行相關憑證就好？

沒錯，Windows 的憑證授權單位就能滿足這個需求，只是 Server 憑證在簽署時，只能有一年有效期，也就是 IIS 網站所使用的 Server 憑證，在一年後就必須作更換。如果 Server 憑證改由 Linux 來簽署，就可以設定憑證的有效期限為更長的時間。

事前的必要條件

• Linux CA 已完成簽署前的所有設定
• IIS 網站設定已完成

步驟開始

1. 從 IIS 主機建立一個 Server 憑證簽署要求檔(CSR)，將此檔傳給 Linux CA 主機
2. 從 Linux CA 主機簽署這個 CSR 檔，產生一個 Server 憑證檔(xxx.crt)，將此檔傳回 IIS 主機
3. 從 IIS 主機匯入簽署成功的憑證檔(xxx.crt)