伺服器證書安裝配置指南(IIS7)
一、 生成證書請求
1. 進入IIS控制檯
進入IIS控制檯,並選擇伺服器的伺服器證書設定選項。 
2. 新增證書請求
進入伺服器證書配置頁面,並選擇"建立證書申請" 
3. 選擇加密服務提供程式,並設定證書金鑰長度,EV證書需選擇位長2048。
4. 生成證書請求檔案
儲存證書請求檔案,並稍後提交給天威誠信。 
二、 安裝伺服器證書
1. 從證書籤發郵件中獲取證書檔案
將證書籤發郵件中的包含伺服器證書程式碼的文字複製出來(包括"-----BEGIN CERTIFICATE-----"和"-----END CERTIFICATE-----")貼上到記事本等文字編輯器中並修改檔名,儲存為為server.cer。
2. 獲取伺服器證書中級CA證書
為保障保障伺服器證書在客戶端的相容性,伺服器證書需要安裝兩張中級CA證書(首先安裝中間CA證書,安裝成功後再安裝伺服器證書,請注意中級CA證書與伺服器證書安裝的先後順序;不同品牌證書,可能只有一張中級證書)。
從郵件中獲取中級
3. 安裝伺服器證書中級CA證書
點選"開始"=>"執行"=>"mmc" 
開啟控制檯,點選"檔案"=>"新增/刪除管理單元" 
找到"證書"點選"新增" 
選擇"計算機賬戶",點選"下一步" 
點選"完成" 
點選"證書(本地計算機)",選擇"中級證書頒發機構","證書" 
在空白處點選右鍵,選擇"所有任務"=>"匯入"。 
通過證書嚮導分別匯入中級CA證書intermediate1.cer、intermediate2.cer 
選擇"將所有的證書放入下列儲存",點選"下一步",點選"完成" 
匯入中級CA證書完成
4. 刪除服務端一張(EV)根證書
在IIS上安裝伺服器證書,需要檢查伺服器上是否存在一張(EV)伺服器證書根證書。如果存在,需要刪除該證書,否則客戶端IE7以下客戶端將訪問報錯。
選擇"證書"=>"受信任的根證書頒發機構"=>"證書"
檢查其中是否存在名稱為"VeriSign Class 3 Public Primary Certification Authority - G5"有效期 2006-11-8 到 2036-7-17的證書,如果存在,請刪除該證書。如未找到該證書,請忽略繼續以下操作。
選擇證書=>第三方根證書頒發機構=>證書
檢查其中是否存在名稱為"VeriSign Class 3 Public Primary Certification Authority - G5"有效期 2006-11-27 到 2036-7-17的證書,如果存在,請刪除該證書 
5. 匯入伺服器證書
點選"完成證書申請" 
選中證書檔案,併為證書設定好記名稱,並完成證書的匯入 
6. 配置伺服器證書
選中需要配置證書的站點,並選擇右側"編輯站點"下的"繫結" 
選擇"新增" 並設定:
型別:https
埠:443
指派站點證書,點選"確定" 
伺服器證書配置完成!
為了滿足蘋果ATS要求和對伺服器端加密套件的優化配置,我們製作了一鍵式優化加密套件工具 ItrusIIS.exe,可以通過一鍵式操作為IIS服務加密套件設定推薦配置。下載地址: http://www.itrus.cn/soft/ITrusIIS.exe
雙擊執行"ItrusIIS.exe",選擇"最佳配置"後點擊"應用"。
伺服器重啟之後即可生效。
三、 伺服器證書的備份及恢復
在您成功的安裝和配置了伺服器證書之後,請務必依據下面的操作流程,備份好您的伺服器證書,以防證書丟失給您帶來不便。
1. 伺服器證書的備份
進入IIS管理控制檯,並選擇"伺服器證書" 
選中您的伺服器證書專案,並右鍵選擇"匯出" 
輸入匯出的金鑰檔案檔名、儲存路徑:,併為匯出的pfx格式證書備份檔案設定保護密碼 
儲存好備份的pfx檔案即可完成備份操作。
2. 伺服器證書的恢復
參考第二部分"安裝伺服器證書"部分中,中級CA安裝配置部分將兩張中級CA證書安裝到伺服器中。
然後進入IIS管理控制檯的伺服器證書管理頁面,右鍵選擇"匯入" 
選擇您的pfx格式證書備份檔案,並輸入金鑰檔案保護密碼。 
如果選中"標誌此金鑰為可匯出"則您稍後可以將私鑰從該伺服器匯出。不選中此選項時,私鑰將無法從當前伺服器中匯出。建議您將證書備份檔案儲存好,不勾選此選項,這將更有利於伺服器證書金鑰的安全。