轉(zhuǎn)到“服務(wù)器”—“證書(shū)”---“”新建，如圖

X

選擇“創(chuàng)建從證書(shū)頒發(fā)機(jī)構(gòu)獲取證書(shū)的請(qǐng)求”，點(diǎn)擊“下一步”，如圖

輸入證書(shū)友好名稱---點(diǎn)擊“下一步”，如圖

我們申請(qǐng)的是多域名證書(shū)而不是通配符，點(diǎn)擊“下一步”，如圖

點(diǎn)擊“瀏覽”，選擇客戶端訪問(wèn)服務(wù)器----“下一步”，如圖

下一步，如圖

根據(jù)實(shí)際情況可增加和刪除域名，下一步，如圖

填寫(xiě)證書(shū)的基本信息，點(diǎn)擊“下一步”，如圖

輸入請(qǐng)問(wèn)文件存放的共享路徑，點(diǎn)擊“完成”，如圖

完成后，如下圖

導(dǎo)出證書(shū)請(qǐng)求文件(以“.req”結(jié)尾文件)，把該文件發(fā)送給聚名，然后等待聚名簽發(fā)證書(shū)。

二 安裝服務(wù)器中級(jí)證書(shū)

1. 從證書(shū)簽發(fā)郵件中獲取證書(shū)文件

將證書(shū)簽發(fā)郵件中的包含服務(wù)器證書(shū)代碼的文本復(fù)制出來(lái)(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中并修改文件名，保存為為server.cer。

2. 獲取服務(wù)器證書(shū)中級(jí)CA證書(shū)

為保障保障服務(wù)器證書(shū)在客戶端的兼容性，服務(wù)器證書(shū)需要安裝兩張中級(jí)CA證書(shū)(首先安裝中間CA證書(shū)，安裝成功后再安裝服務(wù)器證書(shū)，請(qǐng)注意中級(jí)CA證書(shū)與服務(wù)器證書(shū)安裝的先后順序;不同品牌證書(shū)，可能只有一張中級(jí)證書(shū))。

從郵件中獲取中級(jí)CA證書(shū)： 將證書(shū)簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級(jí)CA證書(shū)內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為intermediate1.cer和intermediate2.cer文件(如果您的服務(wù)器證書(shū)只有一張中級(jí)證書(shū)，則只需要保存并安裝一張中級(jí)證書(shū))。

3. 安裝服務(wù)器證書(shū)中級(jí)CA證書(shū)

點(diǎn)擊“開(kāi)始”=>“運(yùn)行”=>“mmc”

打開(kāi)控制臺(tái)，點(diǎn)擊“文件”=>“添加/刪除管理單元”

找到“證書(shū)”點(diǎn)擊“添加“

選擇“計(jì)算機(jī)賬戶”，點(diǎn)擊“下一步”

點(diǎn)擊“完成”

點(diǎn)擊“證書(shū)(本地計(jì)算機(jī))”，選擇“中級(jí)證書(shū)頒發(fā)機(jī)構(gòu)”，“證書(shū)”

在空白處點(diǎn)擊右鍵，選擇“所有任務(wù)”=>“導(dǎo)入”。

通過(guò)證書(shū)向?qū)Х謩e導(dǎo)入中級(jí)CA證書(shū)intermediate1.cer、intermediate2.cer

選擇“將所有的證書(shū)放入下列存儲(chǔ)”，點(diǎn)擊“下一步”，點(diǎn)擊“完成”

導(dǎo)入中級(jí)CA證書(shū)完成

4. 刪除服務(wù)端一張(EV)根證書(shū)

在IIS上安裝服務(wù)器證書(shū)，需要檢查服務(wù)器上是否存在一張(EV)服務(wù)器證書(shū)根證書(shū)。如果存在，需要?jiǎng)h除該證書(shū)，否則客戶端IE7以下客戶端將訪問(wèn)報(bào)錯(cuò)。

選擇“證書(shū)”=>“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”=>“證書(shū)”

檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的證書(shū)，如果存在，請(qǐng)刪除該證書(shū)。如未找到該證書(shū)，請(qǐng)忽略繼續(xù)以下操作。

選擇證書(shū)=>第三方根證書(shū)頒發(fā)機(jī)構(gòu)=>證書(shū)

檢查其中是否存在名稱為“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的證書(shū)，如果存在，請(qǐng)刪除該證書(shū)

三 完成證書(shū)擱置請(qǐng)求

回到ECP控制臺(tái)，完成擱置的請(qǐng)求，點(diǎn)擊“完成”，如圖

指定證書(shū)的共享路徑，點(diǎn)擊“確定”，如圖

可以看到證書(shū)已經(jīng)顯示有效，但是并沒(méi)有分配給具體服務(wù)，點(diǎn)擊“編輯”如下

7.編輯證書(shū)，選擇服務(wù)，勾選上需要分配證書(shū)的服務(wù)“SMTP”和“IIS”。單擊“保存”。

8.彈出一個(gè)警告，提示替換掉當(dāng)前的證書(shū)，是，繼續(xù)。

9.回到ECP，證書(shū)服務(wù)，ok，發(fā)現(xiàn)分配的服務(wù)全部包含了。

三、首先導(dǎo)出cas01證書(shū)，在導(dǎo)入到cas02服務(wù)器里面。

1、選擇cas01，點(diǎn)擊"導(dǎo)出Exchange證書(shū)"

2、輸入導(dǎo)出的路徑，及密碼，確定。

3、先將中級(jí)證書(shū)文件導(dǎo)入cas02的控制臺(tái)中，并刪除無(wú)效的根證書(shū)。

4、選擇服務(wù)器cas02，選擇導(dǎo)入Exchange證書(shū)。

5、輸入剛才cas01證書(shū)導(dǎo)出的保存位置，輸入密碼，下一步。

6、回到EAC，發(fā)現(xiàn)cas02證書(shū)已經(jīng)成功導(dǎo)入。

7、關(guān)閉IE，在重新打開(kāi)，輸入(你的NLB外網(wǎng)域名)，我們發(fā)現(xiàn)已經(jīng)不會(huì)有安全提示了，證書(shū)配置就到此全部完成。(由于郵箱角色不直接對(duì)外，就不用再另外導(dǎo)入證書(shū)了)

五、 服務(wù)器證書(shū)的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書(shū)之后，請(qǐng)務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書(shū)，以防證書(shū)丟失給您帶來(lái)不便。

1. 服務(wù)器證書(shū)的備份

1、選擇cas01，點(diǎn)擊"導(dǎo)出Exchange證書(shū)"

2、輸入導(dǎo)出的路徑，及密碼，確定。

保存好備份的pfx文件和證書(shū)簽發(fā)郵件即可完成備份操作。

2. 服務(wù)器證書(shū)的恢復(fù)

參考第二部分"安裝服務(wù)器證書(shū)”部分中，中級(jí)CA安裝配置部分將兩張中級(jí)CA證書(shū)安裝到服務(wù)器中。導(dǎo)入服務(wù)器證書(shū)參考證書(shū)從cas1導(dǎo)入到cas2的過(guò)程：

選擇服務(wù)器cas02，選擇導(dǎo)入Exchange證書(shū)。

輸入剛才cas01證書(shū)導(dǎo)出的保存位置，輸入密碼，下一步。

3. 如果選中“標(biāo)志此密鑰為可導(dǎo)出”則您稍后可以將私鑰從該服務(wù)器導(dǎo)出。不選中此選項(xiàng)時(shí)，私鑰將無(wú)法從當(dāng)前服務(wù)器中導(dǎo)出。建議您將證書(shū)備份文件保存好，不勾選此選項(xiàng)，這將更有利于服務(wù)器證書(shū)密鑰的安全。