服务器证书安装配置指南（IIS5）

作者：时间：2016-01-15

一、 生成证书请求

1. 生成证书请求文件(CSR)
进入IIS管理控制台，选择需要配置证书的站点，右键选择“属性”è“目录安全性”

“服务器证书”è“新建证书”

为证书输入名称，并设置服务器证书密钥对位长。EV服务器证书要求密钥位长2048。


输入公司名称及部门信息。


公用名称栏需要填写完整域名信息

输入公司所在地国家、地区信息

  导出证书请求文件


2.    提交证书请求
将证书请求文件certreq.txt提交给天威诚信，等待证书签发。

二、 安装中级CA证书

1. 获取服务器证书中级CA证书
为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA证书(不同品牌证书，可能只有一张中级证书)。
从邮件中获取中级CA证书：
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为intermediate1.cer和intermediate2.cer文件(如果只有一张中级证书，则只需要保存并安装一张中级证书)。

2.     安装服务器证书中级CA证书
点击开始菜单，在“运行”中输入“mmc”，打开控制台窗口。

点击“文件”è“添加删除管理单元”

选择“证书”，然后点击“添加”：


选择“计算机帐户”è“本地计算机”

在添加的证书管理单元中，选择“证书”è“中级证书颁发机构”è“证书”

空白处右键点“所有任务”è“导入”，将EV的两张中级CA证书intermediate1.cer和intermediate2.cer分别导入。

3.    删除服务端一张(EV)根证书
在IIS上安装服务器证书，需要检查服务器上是否存在一张(EV)服务器证书根证书。如果存在，需要删除该证书，否则客户端IE7以下客户端将访问报错。
选择“证书”è“受信任的根证书颁发机构”è“证书”
检查其中是否存在名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的证书，如果存在，请删除该证书。

选择证书è第三方根证书颁发机构è证书
检查其中是否存在名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的证书，如果存在，请删除该证书。

三、  安装服务器证书

1.    保存服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为server.cer文件。

2.    进入IIS控制台
进入IIS控制台，并选中需要配置服务器证书的站点，“属性”è“目录安全性”

选择“服务器证书”è“处理挂起的请求并安装证书”

选中您的服务器证书文件

配置默认的https访问端口443，重启IIS并使用https方式访问测试站点证书安装。

四、  服务器证书的备份及恢复

  在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您的系统应用带来不便。操作流程如下：
1.    服务器证书的备份
点击开始菜单，在“运行”中输入“mmc”，在控制台窗口中，添加“计算机账户”的证书管理器控制单元。选择“个人”

右键选择“个人”中，您站点的服务器证书，选择“所有任务”è“导出”
导出时需要选择“是，导出私钥”

选择“如果可能，将所有证书包括到证书路径中”。

为导出的证书备份文件设置一个保护密码

2.    服务器证书的恢复
点击开始菜单，在“运行”中输入“mmc”，在控制台窗口中，添加“计算机账户”的证书管理器控制单元，选择“个人”

右键选择“个人”中，您站点的服务器证书，选择“所有任务”è“导入”

  选择您的服务器证书备份文件，并输入备份文件保护密码

如果选中“标志此密钥为可导出”则您稍后可以将私钥从该服务器导出。不选中此选项时，私钥将无法从服务器中导出。建议您将证书备份文件保存好，不勾选此选项，这将更有利于服务器证书密钥的安全。
进入IIS控制台，右键选择需要配置该证书的站点“属性”è“目录安全性”è“服务器证书”

选择“指派现有证书”

选择导入的服务器证书

查看并确认证书信息。