轉(zhuǎn)到“服務(wù)器”—“證書”---“”新建，如圖

X

選擇“創(chuàng)建從證書頒發(fā)機(jī)構(gòu)獲取證書的請求”，點(diǎn)擊“下一步”，如圖

輸入證書友好名稱---點(diǎn)擊“下一步”，如圖

我們申請的是多域名證書而不是通配符，點(diǎn)擊“下一步”，如圖

點(diǎn)擊“瀏覽”，選擇客戶端訪問服務(wù)器----“下一步”，如圖

下一步，如圖

根據(jù)實(shí)際情況可增加和刪除域名，下一步，如圖

填寫證書的基本信息，點(diǎn)擊“下一步”，如圖

輸入請問文件存放的共享路徑，點(diǎn)擊“完成”，如圖

完成后，如下圖

導(dǎo)出證書請求文件(以“.req”結(jié)尾文件)，把該文件發(fā)送給聚名，然后等待聚名簽發(fā)證書。

二 安裝服務(wù)器中級證書

1. 從證書簽發(fā)郵件中獲取證書文件

將證書簽發(fā)郵件中的包含服務(wù)器證書代碼的文本復(fù)制出來(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中并修改文件名，保存為為server.cer。

2. 獲取服務(wù)器證書中級CA證書

為保障保障服務(wù)器證書在客戶端的兼容性，服務(wù)器證書需要安裝兩張中級CA證書(首先安裝中間CA證書，安裝成功后再安裝服務(wù)器證書，請注意中級CA證書與服務(wù)器證書安裝的先后順序;不同品牌證書，可能只有一張中級證書)。

從郵件中獲取中級CA證書： 將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級CA證書內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為intermediate1.cer和intermediate2.cer文件(如果您的服務(wù)器證書只有一張中級證書，則只需要保存并安裝一張中級證書)。

3. 安裝服務(wù)器證書中級CA證書

點(diǎn)擊“開始”=>“運(yùn)行”=>“mmc”

打開控制臺(tái)，點(diǎn)擊“文件”=>“添加/刪除管理單元”

找到“證書”點(diǎn)擊“添加“

選擇“計(jì)算機(jī)賬戶”，點(diǎn)擊“下一步”

點(diǎn)擊“完成”

點(diǎn)擊“證書(本地計(jì)算機(jī))”，選擇“中級證書頒發(fā)機(jī)構(gòu)”，“證書”

在空白處點(diǎn)擊右鍵，選擇“所有任務(wù)”=>“導(dǎo)入”。

通過證書向?qū)Х謩e導(dǎo)入中級CA證書intermediate1.cer、intermediate2.cer

選擇“將所有的證書放入下列存儲(chǔ)”，點(diǎn)擊“下一步”，點(diǎn)擊“完成”

導(dǎo)入中級CA證書完成

4. 刪除服務(wù)端一張(EV)根證書

在IIS上安裝服務(wù)器證書，需要檢查服務(wù)器上是否存在一張(EV)服務(wù)器證書根證書。如果存在，需要?jiǎng)h除該證書，否則客戶端IE7以下客戶端將訪問報(bào)錯(cuò)。

選擇“證書”=>“受信任的根證書頒發(fā)機(jī)構(gòu)”=>“證書”

檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的證書，如果存在，請刪除該證書。如未找到該證書，請忽略繼續(xù)以下操作。

選擇證書=>第三方根證書頒發(fā)機(jī)構(gòu)=>證書

檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的證書，如果存在，請刪除該證書

三 完成證書擱置請求

回到ECP控制臺(tái)，完成擱置的請求，點(diǎn)擊“完成”，如圖

指定證書的共享路徑，點(diǎn)擊“確定”，如圖

可以看到證書已經(jīng)顯示有效，但是并沒有分配給具體服務(wù)，點(diǎn)擊“編輯”如下

7.編輯證書，選擇服務(wù)，勾選上需要分配證書的服務(wù)“SMTP”和“IIS”。單擊“保存”。

8.彈出一個(gè)警告，提示替換掉當(dāng)前的證書，是，繼續(xù)。

9.回到ECP，證書服務(wù)，ok，發(fā)現(xiàn)分配的服務(wù)全部包含了。

三、首先導(dǎo)出cas01證書，在導(dǎo)入到cas02服務(wù)器里面。

1、選擇cas01，點(diǎn)擊"導(dǎo)出Exchange證書"

2、輸入導(dǎo)出的路徑，及密碼，確定。

3、先將中級證書文件導(dǎo)入cas02的控制臺(tái)中，并刪除無效的根證書。

4、選擇服務(wù)器cas02，選擇導(dǎo)入Exchange證書。

5、輸入剛才cas01證書導(dǎo)出的保存位置，輸入密碼，下一步。

6、回到EAC，發(fā)現(xiàn)cas02證書已經(jīng)成功導(dǎo)入。

7、關(guān)閉IE，在重新打開，輸入(你的NLB外網(wǎng)域名)，我們發(fā)現(xiàn)已經(jīng)不會(huì)有安全提示了，證書配置就到此全部完成。(由于郵箱角色不直接對外，就不用再另外導(dǎo)入證書了)

五、 服務(wù)器證書的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。

1. 服務(wù)器證書的備份

1、選擇cas01，點(diǎn)擊"導(dǎo)出Exchange證書"

2、輸入導(dǎo)出的路徑，及密碼，確定。

保存好備份的pfx文件和證書簽發(fā)郵件即可完成備份操作。

2. 服務(wù)器證書的恢復(fù)

參考第二部分"安裝服務(wù)器證書”部分中，中級CA安裝配置部分將兩張中級CA證書安裝到服務(wù)器中。導(dǎo)入服務(wù)器證書參考證書從cas1導(dǎo)入到cas2的過程：

選擇服務(wù)器cas02，選擇導(dǎo)入Exchange證書。

輸入剛才cas01證書導(dǎo)出的保存位置，輸入密碼，下一步。

3. 如果選中“標(biāo)志此密鑰為可導(dǎo)出”則您稍后可以將私鑰從該服務(wù)器導(dǎo)出。不選中此選項(xiàng)時(shí)，私鑰將無法從當(dāng)前服務(wù)器中導(dǎo)出。建議您將證書備份文件保存好，不勾選此選項(xiàng)，這將更有利于服務(wù)器證書密鑰的安全。