我们从 digicert 购买了通配符证书 (*.ourcompany.com)。我被要求建立一个系统,其中某些员工拥有自己的 SSL 证书,用于签署 PDF 等。
我的印象是我可以创建这些并使用我们的证书签署它们,使它们有效。然而,我所有的搜索都在寻找“代码签名证书”,这根本不是我们想要做的。我相信我们需要以某种方式提出证书签名请求,使用个人详细信息,然后签署该请求,但是我不确定如何这样做(特别是考虑到构成我们获得的证书的所有不同文件)。
这是我收到的:
|digicert/
|-star_ourcompany_com.csr
|-star_ourcompany_com.key
|-certs/
|--DigiCertCA2.crt
|--star_ourcompany_com.crt
|--TrustedRoot.crt
任何人都可以阐明做到这一点的最佳方法吗?
情况
我有一个 Windows SBS 2008 框作为 DC/DNS/DHCP/Exchange/文件服务器运行到 192.168.1.0/24 上的网络。可以说 SBS 盒子的 IP 是不可变的。在过去的某个时候,我的前任试图让 2 个 NIC 运行 2 个 IP(这是非常不受支持的),从那时起,尝试更改任何网络属性会导致它在提示重启时蓝屏 -发生这种情况时,我们不得不从快照中恢复,似乎没有办法解决它。
我们最近启动了一个项目来摆脱 SBS 并构建一个真正的 2008/2012 (tbd) 域,其中包含 2 个 DC、一个用于 Exchange 的单独 VM、一个用于文件共享等(是的!)但前提是我们过渡到新的 IP 范围(我们将与总部建立 VPN,允许我们将许多这些服务卸载到他们的网络上)。
这让我陷入了一种棘手的境地——我需要将路由器、工作站、终端......网络上的几乎所有东西都放在不同的范围内,同时保持与这些服务器的连接在 SBS 上运行的服务必须停留在 192.168.1.0/24 上。
这个问题的另一个复杂之处是 - 我们这里有 2 个网关。一个由 SBS 使用,另一个......几乎所有其他东西 - 这是为了允许来自外部的 SMTP 和 HTTPS 流量访问它。
计划
好的,这就是我打算做的 - 我已经设置了一个虚拟机,在每个网络范围内安装了最少的 Ubuntu 12.04 和一个 NIC。它设置了静态路由以到达其各自接口上的每个网络,我计划通过 DHCP 推出另一条路由,允许不同范围的客户端通过通过 linux box 路由来相互联系。
所以例如我有路线:
客户端在 10.0.0.20
destination 192.168.1.0 mask 255.255.255.0 gateway 10.0.0.10 interface 10.0.0.20
Linux 路由器在 …