一、制作中级CA证书
1. 获取中级CA证书
从邮件中获取中级CA证书: 将证书签发邮件中的“以下是您的中级CA证书”部分里的CA证书的内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到记事本等文本编辑器中,保存为intermediate1.cer。
注:如您收到的证书签发邮件中,中级CA证书内容有两段,请分别把两个CA证书保存为intermediate1.cer和intermediate2.cer分别进行导入,如只有一段中级CA证书,只生成intermediate1.cer导入即可(中级CA证书数量已邮件为准)。
2. 安装中级CA证书
点击“开始”=>“运行”=>“mmc”
打开控制台,点击“文件”=>“添加/删除管理单元”
找到“证书”点击“添加”
选择“计算机账户”,点击“下一步”
点击“完成”
点击“证书(本地计算机)”,选择“中级证书颁发机构”,“证书”
在空白处点击右键,选择“所有任务”=>“导入”。
通过证书向导导入中级CA证书intermediate1.cer,
选择“将所有的证书放入下列存储”,点击“下一步”,点击“完成”。
二、进行证书格式转换
1,首先准备好制作CSR产生的server.key私钥文件。如您手上没有私钥.key文件,可以联系生成CSR文件人员或联系天威诚信商务人员咨询。
2,将证书签发邮件中的从—–BEGIN到 END—–结束的服务器证书所有内容粘贴到记事本等文本编辑器中。
在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码从—–BEGIN到 END—–结束,每串证书代码之间均需要使用回车换行不留空行,修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。
3,使用天威诚信CIM工具: https://cim.itrus.cn
点击工具箱,选择:证书格式转换,源文件选择pem,目标文件选择pfx,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(源私钥密码处为空)
4,设置“目标证书别名”为默认的“server”,并在“目标证书密码”中自定义设置PFX文件密码。
5,点击证书格式转换后,点击保存PFX文件即可下载转换后的文件。
三、安装服务器证书
1.导入服务器证书
点击“导入” 并勾选“允许导出此证书”,录入pfx文件路径和密码点击确定。
2. 配置服务器证书
选中需要配置证书的站点,并选择右侧“编辑站点”下的“绑定”
选择“添加” 并设定:
类型:https
端口:443
指派站点证书,点击”确定” ,服务器证书配置完成!
3.优化配置
为了满足苹果ATS要求和对服务器端加密套件的优化配置,我们制作了一键式优化加密套件工具 ItrusIIS.exe,可以通过一键式操作为IIS服务加密套件设置推荐配置。下载地址: http://www.itrus.cn/soft/ITrusIIS.exe
双击执行“ItrusIIS.exe”,选择“最佳配置”后点击“应用”。
服务器重启之后即可生效。
四、 服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
进入IIS管理控制台,并选择“服务器证书”
选中您的服务器证书项目,并右键选择“导出”
输入导出的密钥文件文件名、存储路径:,并为导出的pfx格式证书备份文件设置保护密码
保存好备份的pfx文件即可完成备份操作。
2. 服务器证书的恢复
参考第二部分”安装服务器证书”部分中,中级CA安装配置部分将两张中级CA证书安装到服务器中。
然后进入IIS管理控制台的服务器证书管理页面,右键选择“导入”
选择您的pfx格式证书备份文件,并输入密钥文件保护密码。
如果选中“标志此密钥为可导出”则您稍后可以将私钥从该服务器导出。不选中此选项时,私钥将无法从当前服务器中导出。建议您将证书备份文件保存好,不勾选此选项,这将更有利于服务器证书密钥的安全。