2.域控制器及證書頒發機構

安裝域控制器部分：

1.修改計算機名稱IP地址

2.安裝AD DNS 角色

運行服務器嚮導

3.配置AD域 (選定域名，推薦公網內網一致)

安裝配置證書頒發機構部分：

1.運行服務器嚮導，安裝如下證書角色

    證書頒發機構

    證書頒發機構Web註冊

2.配置證書頒發機構，企業根CA

3.配置證書頒發機構WEB註冊

4.×××頒發機構屬性，添加CRL部分訪問方式（http 建議使用非80端口，若是要使用80端口，請和運營商確認是否須要備案開通 ）

5.×××頒發機構屬性，添加證書AIA部分訪問方式（http 建議使用非80端口 ）

6.IIS上，綁定證書CRL使用的端口。

7.Windows高級防火牆添加策略，容許證書CRL使用的端口入站。

配置證書爲企業根證書注意事項：

1.爲證書頒發機構添加CRL http方式 注意修改端口，手動插入變量，直接複製會致使crl沒法訪問。

2.發佈CRL

 

 

免費的通配符證書（適合作測試用，一年期限）：

1.使用在線工具生成證書請求文件和私鑰文件。

CSR生成地址：https://csr.chinassl.net/generator-csr.html

請妥善保存Key文件，將CSR和Key文件下載

2.登陸通配符證書申請網站，使用第一步生成的請求文件申請證書。

https://assl.loovit.com/

3.登陸郵箱，確認申請。

須要將紅線部分，複製到瀏覽器中進行確認。

4.確認證書發送的郵箱地址。

5.登陸郵箱，將郵件正文中的證書保存爲.txt格式的文本文件。

1爲確認證書請求的文件，第3步使用的郵件，2裏面包含了證書文件。

郵件中的如下部分爲證書文件，須要將

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

這部分，複製下來，保存爲.txt的證書文件。

6.證書合成PFX文件工具。

https://www.myssl.cn/tools/merge-pfx-cert.html

1合成須要的Key文件爲第一步生成的Key。

2合成須要的證書文件爲5步保存的證書文件。

免費的阿里雲單域名證書（一年期限）：

1.登陸阿里雲證書管理後臺

2.購買證書。

3.補全待完成的證書

4.輸入使用的域名

5.輸入證書所須要的信息，若是是萬網購買的域名，勾選中間部分，使用系統生成CSR。

6.提交審覈便可。

7.審覈經過後，下載相關的證書文件。