创建UCC证书的用户域CA

Question

我们有30+ RDS服务器，并使用硬件负载均衡器。我正试图找出如何从我们的内部CA生成一个UCC证书。

有人为我指出正确的方向吗？需要将所有RDS服务器名称化名，这样当用户弹出服务器时，他们就不会一直看到可信的证书屏幕，因为它们连接到的服务器与它们所指向的服务器名称不同(负载平衡器)

Answer 1

UCC证书与其说是一种技术上不同的证书，不如说是一种营销术语。UCC实际上只是一个普通的X509证书，上面有一堆SAN(主题可选名称)。因此，您可以轻松地通过您自己的内部证书颁发机构来模拟这样一个证书的功能。如果你拥有CA，你可以让它颁发证书，与CNs和can的任何组合，你可以梦想。

"UCC证书“和"SAN证书”本质上是相同的。

如果我是你，我会复制一个服务器。来自CA的证书模板，并将手动注册权限授予您的RDS服务器组。我将确保修改模板以要求更多信息，以便您有机会在注册时输入额外的SAN(可能是DNS名称)。我还会将私钥导出，以便您可以在所有RDS服务器之间共享该证书，或者将其上传到硬件负载均衡器(视情况而定)。

这是一个屏幕，就像您的客户端在尝试从您的Enterprise注册证书时所看到的(类似于--只是一个例子)。您可以转到mmc ->添加管理单元->证书，然后右击并选择“登记”。

客户端在此屏幕上看到什么取决于您的Enterprise配置了哪些证书模板(以及他对哪些证书具有权限)。

如果您的CA和客户端没有连接到同一个域，则需要通过证书服务Web注册。它提供了一个古老的网络接口，以申请证书。

您可能需要远程桌面服务器身份验证EKU，而不是服务器身份验证的EKU。请参阅这里的详细信息：http://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html