安装域控制器部分:
1.修改计算机名称IP地址
2.安装AD DNS 角色
运行服务器向导
3.配置AD域 (选定域名,推荐公网内网一致)
安装配置证书颁发机构部分:
1.运行服务器向导,安装以下证书角色
证书颁发机构
证书颁发机构Web注册
2.配置证书颁发机构,企业根CA
3.配置证书颁发机构WEB注册
4.修改证书颁发机构属性,添加CRL部分访问方式(http 建议使用非80端口,如果要使用80端口,请和运营商确认是否需要备案开通 )
5.修改证书颁发机构属性,添加证书AIA部分访问方式(http 建议使用非80端口 )
6.IIS上,绑定证书CRL使用的端口。
7.Windows高级防火墙添加策略,允许证书CRL使用的端口入站。
配置证书为企业根证书注意事项:
1.为证书颁发机构添加CRL http方式 注意修改端口,手动插入变量,直接复制会导致crl无法访问。
2.发布CRL
免费的通配符证书(适合做测试用,一年期限):
1.使用在线工具生成证书请求文件和私钥文件。
CSR生成地址:https://csr.chinassl.net/generator-csr.html
请妥善保存Key文件,将CSR和Key文件下载
2.登录通配符证书申请网站,使用第一步生成的请求文件申请证书。
3.登录邮箱,确认申请。
需要将红线部分,复制到浏览器中进行确认。
4.确认证书发送的邮箱地址。
5.登录邮箱,将邮件正文中的证书保存为.txt格式的文本文件。
1为确认证书请求的文件,第3步使用的邮件,2里面包含了证书文件。
邮件中的以下部分为证书文件,需要将
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
这部分,复制下来,保存为.txt的证书文件。
6.证书合成PFX文件工具。
https://www.myssl.cn/tools/merge-pfx-cert.html
1合成需要的Key文件为第一步生成的Key。
2合成需要的证书文件为5步保存的证书文件。
免费的阿里云单域名证书(一年期限):
1.登录阿里云证书管理后台
2.购买证书。
3.补全待完成的证书
4.输入使用的域名
5.输入证书所需要的信息,如果是万网购买的域名,勾选中间部分,使用系统生成CSR。
6.提交审核即可。
7.审核通过后,下载相关的证书文件。
