一、 生成證書(shū)請(qǐng)求

1. 生成證書(shū)請(qǐng)求文件(CSR)

進(jìn)入IIS管理控制臺(tái)，選擇需要配置證書(shū)的站點(diǎn)，右鍵選擇“屬性”è“目錄安全性”

“服務(wù)器證書(shū)”è“新建證書(shū)”

為證書(shū)輸入名稱(chēng)，并設(shè)置服務(wù)器證書(shū)密鑰對(duì)位長(zhǎng)。EV服務(wù)器證書(shū)要求密鑰位長(zhǎng)2048。

輸入公司名稱(chēng)及部門(mén)信息。

公用名稱(chēng)欄需要填寫(xiě)完整域名信息

輸入公司所在地國(guó)家、地區(qū)信息

導(dǎo)出證書(shū)請(qǐng)求文件

2. 提交證書(shū)請(qǐng)求

將證書(shū)請(qǐng)求文件certreq.txt提交給聚名，等待證書(shū)簽發(fā)。

二、 安裝中級(jí)CA證書(shū)

1. 獲取服務(wù)器證書(shū)中級(jí)CA證書(shū)

為保障服務(wù)器證書(shū)在客戶(hù)端的兼容性，服務(wù)器證書(shū)需要安裝兩張中級(jí)CA證書(shū)(首先安裝中間CA證書(shū)，安裝成功后再安裝服務(wù)器證書(shū)，請(qǐng)注意中級(jí)CA證書(shū)與服務(wù)器證書(shū)安裝的先后順序;不同品牌證書(shū)，可能只有一張中級(jí)證書(shū))。

從郵件中獲取中級(jí)CA證書(shū)：

將證書(shū)簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級(jí)CA證書(shū)內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為intermediate1.cer和intermediate2.cer文件(如果只有一張中級(jí)證書(shū)，則只需保存并安裝一張即可)。

2. 安裝服務(wù)器證書(shū)中級(jí)CA證書(shū)

點(diǎn)擊開(kāi)始菜單，在“運(yùn)行”中輸入“mmc”，打開(kāi)控制臺(tái)窗口。

點(diǎn)擊“文件è添加刪除管理單元”

選擇“證書(shū)”，然后點(diǎn)擊“添加”：

選擇“計(jì)算機(jī)帳戶(hù)”è“本地計(jì)算機(jī)”

在添加的證書(shū)管理單元中，選擇“證書(shū)”è“中級(jí)證書(shū)頒發(fā)機(jī)構(gòu)”è“證書(shū)”

空白處右鍵點(diǎn)“所有任務(wù)”è“導(dǎo)入”，將兩張中級(jí)CA證書(shū)intermediate1.cer和intermediate2.cer分別導(dǎo)入。

3. 刪除一張服務(wù)端(EV)根證書(shū)

在IIS上安裝服務(wù)器證書(shū)，需要檢查服務(wù)器上是否存在一張(EV)服務(wù)器證書(shū)根證書(shū)。如果存在，需要?jiǎng)h除該證書(shū)，否則客戶(hù)端IE7以下客戶(hù)端將訪問(wèn)報(bào)錯(cuò)。

選擇“證書(shū)”è“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”è“證書(shū)”

檢查其中是否存在名稱(chēng)為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的證書(shū)，如果存在，請(qǐng)刪除該證書(shū)。

選擇證書(shū)è第三方根證書(shū)頒發(fā)機(jī)構(gòu)è證書(shū)

檢查其中是否存在名稱(chēng)為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的證書(shū)，如果存在，請(qǐng)刪除該證書(shū)

三、 安裝服務(wù)器證書(shū)

1. 保存服務(wù)器證書(shū)

將證書(shū)簽發(fā)郵件中的從BEGIN到 END結(jié)束的服務(wù)器證書(shū)內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為server.cer文件。

2. 進(jìn)入IIS控制臺(tái)

進(jìn)入IIS控制臺(tái)，并選中需要配置服務(wù)器證書(shū)的站點(diǎn)，“屬性”è“目錄安全性”

選擇“服務(wù)器證書(shū)”è“處理掛起的請(qǐng)求并安裝證書(shū)”

選中您的服務(wù)器證書(shū)文件

配置默認(rèn)的https訪問(wèn)端口443，重啟IIS并使用https方式訪問(wèn)測(cè)試站點(diǎn)證書(shū)安裝。

四、 服務(wù)器證書(shū)的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書(shū)之后，請(qǐng)務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書(shū)，以防證書(shū)丟失給您帶來(lái)不便。操作流程如下：

1. 服務(wù)器證書(shū)的備份

進(jìn)入IIS控制臺(tái)，選擇安裝有服務(wù)器證書(shū)的站點(diǎn)，右鍵選擇“屬性”è“目錄安全性”è“服務(wù)器證書(shū)”è“將當(dāng)前站點(diǎn)證書(shū)導(dǎo)出到一個(gè).pfx文件”

為導(dǎo)出的證書(shū)備份文件設(shè)置一個(gè)保護(hù)密碼

設(shè)置文件導(dǎo)出路徑

2. 服務(wù)器證書(shū)的恢復(fù)

進(jìn)入IIS控制臺(tái)，選擇安裝有服務(wù)器證書(shū)的站點(diǎn)，右鍵選擇“屬性”è“目錄安全性”è“服務(wù)器證書(shū)”è“從.pfx文件導(dǎo)入證書(shū)”

選擇您的服務(wù)器證書(shū)備份文件，并輸入備份文件保護(hù)密碼

如果選中“標(biāo)志此密鑰為可導(dǎo)出”則您稍后可以將私鑰從該服務(wù)器導(dǎo)出。不選中此選項(xiàng)時(shí)，私鑰將無(wú)法從服務(wù)器中導(dǎo)出。建議您將證書(shū)備份文件保存好，不勾選此選項(xiàng)，這將更有利于服務(wù)器證書(shū)密鑰的安全。

配置默認(rèn)的https訪問(wèn)端口443，重啟IIS并使用https方式訪問(wèn)測(cè)試站點(diǎn)證書(shū)安裝。