一、 生成證書請求

1. 進入IIS控制臺

進入IIS控制臺，并選擇服務器的服務器證書設置選項。

2. 添加證書請求

進入服務器證書配置頁面，并選擇“創(chuàng)建證書申請”

3. 選擇加密服務提供程序，并設置證書密鑰長度，EV證書選擇位長2048

4. 生成證書請求文件

保存證書請求文件，并稍后提交給聚名。

二、 安裝服務器證書

1. 從證書簽發(fā)郵件中獲取證書文件

將證書簽發(fā)郵件中的包含服務器證書代碼的文本復制出來(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中并修改文件名，保存為server.cer。

2. 導入服務器證書

點擊“完成證書申請”

選中證書文件，并為證書設置好記名稱，并完成證書的導入

3. 配置服務器證書

選中需要配置證書的站點，并選擇右側(cè)“編輯站點”下的“綁定”

選擇“添加” 并設定：

類型：https

端口：443

指派站點證書，點擊”確定”

服務器證書配置完成!

4. 獲取EV服務器證書中級CA證書

為保障EV服務器證書在IE7以下客戶端的兼容性，EV服務器證書需要安裝兩張中級CA證書。

從郵件中獲取中級CA證書：

將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級CA證書內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中，并修改文件擴展名，保存為intermediate1.cer和intermediate2.cer文件。

5. 安裝EV服務器證書中級CA證書

點擊“開始”è“運行”è“mmc”

打開控制臺，點擊“文件”è“添加/刪除管理單元”

找到“證書”點擊“添加“

選擇“計算機賬戶”，點擊“下一步”

點擊“完成”

點擊“證書(本地計算機)”，選擇“中級證書頒發(fā)機構(gòu)”，“證書”

在空白處點擊右鍵，選擇“所有任務”è“導入”。

通過證書向?qū)Х謩e導入中級CA證書intermediate1.cer、intermediate2.cer

選擇“將所有的證書放入下列存儲”，點擊“下一步”，點擊“完成”

導入中級CA證書完成

6. 刪除服務端EV根證書

在IIS上安裝EV服務器證書，需要檢查服務器上是否存在EV服務器證書根證書。如果存在，需要刪除該證書，否則客戶端IE7以下客戶端將訪問報錯。

選擇“證書”è“受信任的根證書頒發(fā)機構(gòu)”è“證書”

檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的證書，如果存在，請刪除該證書。

選擇證書è第三方根證書頒發(fā)機構(gòu)è證書

檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的證書，如果存在，請刪除該證書

三、 服務器證書的備份及恢復

在您成功的安裝和配置了服務器證書之后，請務必依據(jù)下面的操作流程，備份好您的服務器證書，以防證書丟失給您帶來不便。

1. 服務器證書的備份

進入IIS管理控制臺，并選擇“服務器證書”

選中您的服務器證書項目，并右鍵選擇“導出”

輸入導出的密鑰文件文件名、存儲路徑:，并為導出的pfx格式證書備份文件設置保護密碼

保存好備份的pfx文件即可完成備份操作。

2. 服務器證書的恢復

進入IIS管理控制臺的服務器證書管理頁面，右鍵選擇“導入”

選擇您的pfx格式證書備份文件，并輸入密鑰文件保護密碼。

如果選中“標志此密鑰為可導出”則您稍后可以將私鑰從該服務器導出。不選中此選項時，私鑰將無法從當前服務器中導出。建議您將證書備份文件保存好，不勾選此選項，這將更有利于服務器證書密鑰的安全。

參考服務器證書安裝部分內(nèi)容，恢復對導入的證書的配置操作。