使用Windows Azure Backup前,必须先上传公用证书以标识备份保管库。必须将公用证书安装在要使用Windows Azure Backup保护的服务器的证书存储中。为了成功注册服务器,服务器必须拥有一个X.509 v3的证书才能向恢复服务保管库注册。该证书的秘钥长度至少为2048位,而且应当位于本地计算机的个人证书存储内。在服务器上安装该证书后,必须包含该证书的私钥。若要将该证书上传至Windows Azure管理门户,必须将公钥导出为.cer格式的文件。
制作服务器证书有两种方法:一种是使用makecert工具创建的自签名证书;另一种是通过Microsoft根证书计划分发其根证书的证书颁发机构(CA)颁发的任何有效的SSL证书。
1、使用自签名工具制作证书
可以使用makecert.exe实用工具来创建自签名证书,makecert.exe证书创建工具生成X.509证书只用于测试目的。它创建用于数字签名的公钥和私钥,并将其存储在证书文件中。此工具还将密钥与指定发行者的名称相关联,并创建一个X.509证书,该证书将用户指定的名称绑定到密钥中公共的部分。makecert.exe并非windows中自带的工具,但是在需要安装Visual Stiudio和Windows SDK时会自动安装此工具。一般使用“Visual Studio”命令提示符或“Window SDK”命令提示符进行运行(也称CMD Shell)该工具。
2、使用企业CA注册服务器证书
CA是证书的签发机构,也是一项在公钥基础结构(PKI)中用于颁发和管理电子凭据或证书的服务。公钥基础结构由数字证书、CA和其他可通过公钥加密对电子交易中的各方进行授权有效性验证的注册机构(RA)组成。CA的功能是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
数字证书的颁发可以来自第三方颁发机构,比如Verisign,这些机构本身的信任关系就内嵌在操作系统中,所以当我们打开那些由这些机构颁发的证书链接时,系统会自动进行验证。当然,在企业内部,数字证书也可以由企业内部的CA进行颁发,虽然在Internet上企业内部的根证书没有受到信任,但是在企业内部,所有的计算机对内部CA是信任的。企业中的Windows Server服务器向CA证书的签发机构申请证书,企业生产环境需要做的是将服务器中默认的证书替换成企业根CA或者外部公共CA签发的可信任证书。这样做的目的就是保证数据的安全和一致性,并得到所有客户端的信任。企业内部服务器申请证书有两种方式,一种是通过Web的方式向CA证书服务器申请证书,另一种则是通过MMC控制台的方式申请证书。
如果通过Web的方式向CA证书服务器申请证书,则CA证书服务器需要IIS的支持,而通过MMC控制台的方式则不需要IIS的支持。
