一、制作中級CA證書

1.    獲取中級CA證書

      從郵件中獲取中級CA證書： 將證書簽發郵件中的“以下是您的中級CA證書”部分里的CA證書的內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中，保存為intermediate1.cer。

      注：如您收到的證書簽發郵件中，中級CA證書內容有兩段，請分別把兩個CA證書保存為intermediate1.cer和intermediate2.cer分別進行導入，如只有一段中級CA證書，只生成intermediate1.cer導入即可(中級CA證書數量已郵件為準)。

2.    安裝中級CA證書

點擊“開始”=>“運行”=>“mmc”

打開控制臺，點擊“文件”=>“添加/刪除管理單元”

找到“證書”點擊“添加”

選擇“計算機賬戶”，點擊“下一步”

點擊“完成”

點擊“證書(本地計算機)”，選擇“中級證書頒發機構”，“證書”

在空白處點擊右鍵，選擇“所有任務”=>“導入”。

通過證書向導導入中級CA證書intermediate1.cer，

選擇“將所有的證書放入下列存儲”，點擊“下一步”，點擊“完成”。

二、進行證書格式轉換

1，首先準備好制作CSR產生的server.key私鑰文件。如您手上沒有私鑰.key文件，可以聯系生成CSR文件人員或聯系天威誠信商務人員咨詢。

2，將證書簽發郵件中的從-----BEGIN到 END-----結束的服務器證書所有內容粘貼到記事本等文本編輯器中。

在服務器證書代碼文本結尾，回車換行不留空行，并粘貼中級CA證書代碼從-----BEGIN到 END-----結束，每串證書代碼之間均需要使用回車換行不留空行，修改文件擴展名，保存包含多段證書代碼的文本文件為server.pem文件。

3，使用天威誠信CIM工具 下載地址: https://cim.itrus.cn

點擊工具箱，點擊證書格式轉換，源文件選擇pem，目標文件選擇pfx，在源證書文件中錄入server.pem，源私鑰文件中錄入server.key文件。(源私鑰密碼處為空)

4，設置“目標證書別名”為默認的“server”，并在“目標證書密碼”中自定義設置PFX文件密碼。

5，點擊證書格式轉換后，點擊保存PFX文件即可下載轉換后的文件。

三、安裝服務器證書

1.導入服務器證書

點擊“導入” 并勾選“允許導出此證書”，錄入pfx文件路徑和密碼點擊確定。

2. 配置服務器證書

選中需要配置證書的站點，并選擇右側“編輯站點”下的“綁定”

選擇“添加” 并設定：

  類型：https

  端口：443

  指派站點證書，點擊”確定” ，服務器證書配置完成!

3.優化配置

為了滿足蘋果ATS要求和對服務器端加密套件的優化配置，我們制作了一鍵式優化加密套件工具 ItrusIIS.exe，可以通過一鍵式操作為IIS服務加密套件設置推薦配置。下載地址: http://www.szmfzx.com/soft/ITrusIIS.exe

雙擊執行“ItrusIIS.exe”，選擇“最佳配置”后點擊“應用”。

服務器重啟之后即可生效。

四、 服務器證書的備份及恢復

在您成功的安裝和配置了服務器證書之后，請務必依據下面的操作流程，備份好您的服務器證書，以防證書丟失給您帶來不便。

1. 服務器證書的備份

進入IIS管理控制臺，并選擇“服務器證書”

選中您的服務器證書項目，并右鍵選擇“導出”

輸入導出的密鑰文件文件名、存儲路徑:，并為導出的pfx格式證書備份文件設置保護密碼

保存好備份的pfx文件即可完成備份操作。

2. 服務器證書的恢復

參考第二部分"安裝服務器證書”部分中，中級CA安裝配置部分將兩張中級CA證書安裝到服務器中。

然后進入IIS管理控制臺的服務器證書管理頁面，右鍵選擇“導入”

選擇您的pfx格式證書備份文件，并輸入密鑰文件保護密碼。

       如果選中“標志此密鑰為可導出”則您稍后可以將私鑰從該服務器導出。不選中此選項時，私鑰將無法從當前服務器中導出。建議您將證書備份文件保存好，不勾選此選項，這將更有利于服務器證書密鑰的安全。