search

证书模板与申请

完成证书服务器的部署后,需要为SDN组件(网络控制器、SLB MUX等)创建专用的证书模板并申请证书。证书是SDN各组件之间安全通信的基础,属于必须环节

hashtag
章节目标

  • 在CA服务器上创建网络控制器专用的证书模板

  • 为NC节点申请和导出证书

  • 了解证书在SDN架构中的作用

hashtag
背景知识

在Microsoft SDN架构中,网络控制器(NC)使用证书实现以下功能:

  • NC节点之间的安全通信(Northbound通信)

  • NC与管理客户端(如VMM)之间的REST API认证(Southbound通信)

  • NC与Hyper-V主机之间的信任建立

hashtag
创建证书模板

使用域管理员登录POC-CA1,打开certtmpl.msc(证书模板控制台)。

  1. 在证书模板列表中,找到Web服务器模板,右键选择复制模板

  2. 在弹出的属性窗口中,进行以下配置:

常规选项卡:

  • 模板显示名称:SDN REST Certificate

  • 有效期:3 年

请求处理选项卡:

  • 勾选允许导出私钥

使用者名称选项卡:

  • 选择在请求中提供

安全选项卡:

  • 添加Domain Computers,授予读取注册权限

  1. 点击确定保存模板

hashtag
发布证书模板

打开certsrv.msc(证书颁发机构控制台),执行以下操作:

  1. 展开CA服务器节点

  2. 右键点击证书模板,选择新建 → 要颁发的证书模板

  3. 在列表中找到并选择SDN REST Certificate,点击确定

hashtag
申请证书

在需要安装证书的服务器上(例如VMM服务器或NC节点),可以使用以下PowerShell命令申请证书:

hashtag
导出证书

申请成功后,需要将证书导出为PFX格式,以便在VMM部署SDN时使用:

注意:请记录证书的指纹(Thumbprint),在后续部署网络控制器时会用到。

hashtag
检查

完成证书模板创建和证书申请后,进行以下验证:

  1. certsrv.msc颁发的证书中,确认能看到刚才申请的证书

  2. 确认导出的PFX文件存在

  3. 确认证书的使用者名称包含NC的REST FQDN

hashtag
课后习题

  • 了解一下X.509证书的基本结构,包括公钥、私钥和证书链的概念。

  • 思考一下,为什么SDN组件之间需要使用证书进行认证,而不是仅使用域认证?

上一页证书服务器下一页VMM逻辑网络配置

最后更新于