一、制作中級CA證書
1. 獲取中級CA證書
從郵件中獲取中級CA證書: 將證書簽發郵件中的“以下是您的中級CA證書”部分里的CA證書的內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中,保存為intermediate1.cer。
注:如您收到的證書簽發郵件中,中級CA證書內容有兩段,請分別把兩個CA證書保存為intermediate1.cer和intermediate2.cer分別進行導入,如只有一段中級CA證書,只生成intermediate1.cer導入即可(中級CA證書數量已郵件為準)。
2. 安裝中級CA證書
點擊“開始”=>“運行”=>“mmc”
打開控制臺,點擊“文件”=>“添加/刪除管理單元”
找到“證書”點擊“添加”
選擇“計算機賬戶”,點擊“下一步”
點擊“完成”
點擊“證書(本地計算機)”,選擇“中級證書頒發機構”,“證書”
在空白處點擊右鍵,選擇“所有任務”=>“導入”。
通過證書向導導入中級CA證書intermediate1.cer,
選擇“將所有的證書放入下列存儲”,點擊“下一步”,點擊“完成”。
二、進行證書格式轉換
1,首先準備好制作CSR產生的server.key私鑰文件。如您手上沒有私鑰.key文件,可以聯系生成CSR文件人員或聯系天威誠信商務人員咨詢。
2,將證書簽發郵件中的從-----BEGIN到 END-----結束的服務器證書所有內容粘貼到記事本等文本編輯器中。
在服務器證書代碼文本結尾,回車換行不留空行,并粘貼中級CA證書代碼從-----BEGIN到 END-----結束,每串證書代碼之間均需要使用回車換行不留空行,修改文件擴展名,保存包含多段證書代碼的文本文件為server.pem文件。
3,使用天威誠信CIM工具 下載地址: https://cim.itrus.cn
點擊工具箱,點擊證書格式轉換,源文件選擇pem,目標文件選擇pfx,在源證書文件中錄入server.pem,源私鑰文件中錄入server.key文件。(源私鑰密碼處為空)
4,設置“目標證書別名”為默認的“server”,并在“目標證書密碼”中自定義設置PFX文件密碼。
5,點擊證書格式轉換后,點擊保存PFX文件即可下載轉換后的文件。
三、安裝服務器證書
1.導入服務器證書
點擊“導入” 并勾選“允許導出此證書”,錄入pfx文件路徑和密碼點擊確定。
2. 配置服務器證書
選中需要配置證書的站點,并選擇右側“編輯站點”下的“綁定”
選擇“添加” 并設定:
類型:https
端口:443
指派站點證書,點擊”確定” ,服務器證書配置完成!
3.優化配置
為了滿足蘋果ATS要求和對服務器端加密套件的優化配置,我們制作了一鍵式優化加密套件工具 ItrusIIS.exe,可以通過一鍵式操作為IIS服務加密套件設置推薦配置。下載地址: http://www.szmfzx.com/soft/ITrusIIS.exe
雙擊執行“ItrusIIS.exe”,選擇“最佳配置”后點擊“應用”。
服務器重啟之后即可生效。
四、 服務器證書的備份及恢復
在您成功的安裝和配置了服務器證書之后,請務必依據下面的操作流程,備份好您的服務器證書,以防證書丟失給您帶來不便。
1. 服務器證書的備份
進入IIS管理控制臺,并選擇“服務器證書”
選中您的服務器證書項目,并右鍵選擇“導出”
輸入導出的密鑰文件文件名、存儲路徑:,并為導出的pfx格式證書備份文件設置保護密碼
保存好備份的pfx文件即可完成備份操作。
2. 服務器證書的恢復
參考第二部分"安裝服務器證書”部分中,中級CA安裝配置部分將兩張中級CA證書安裝到服務器中。
然后進入IIS管理控制臺的服務器證書管理頁面,右鍵選擇“導入”
選擇您的pfx格式證書備份文件,并輸入密鑰文件保護密碼。
如果選中“標志此密鑰為可導出”則您稍后可以將私鑰從該服務器導出。不選中此選項時,私鑰將無法從當前服務器中導出。建議您將證書備份文件保存好,不勾選此選項,這將更有利于服務器證書密鑰的安全。