2.域控制器及证书颁发机构

安装域控制器部分：

1.修改计算机名称IP地址

2.安装AD DNS 角色

运行服务器向导

3.配置AD域 (选定域名，推荐公网内网一致)

安装配置证书颁发机构部分：

1.运行服务器向导，安装以下证书角色

    证书颁发机构

    证书颁发机构Web注册

2.配置证书颁发机构，企业根CA

3.配置证书颁发机构WEB注册

4.×××颁发机构属性，添加CRL部分访问方式（http 建议使用非80端口，如果要使用80端口，请和运营商确认是否需要备案开通 ）

5.×××颁发机构属性，添加证书AIA部分访问方式（http 建议使用非80端口 ）

6.IIS上，绑定证书CRL使用的端口。

7.Windows高级防火墙添加策略，允许证书CRL使用的端口入站。

配置证书为企业根证书注意事项：

1.为证书颁发机构添加CRL http方式 注意修改端口，手动插入变量，直接复制会导致crl无法访问。

2.发布CRL

免费的通配符证书（适合做测试用，一年期限）：

1.使用在线工具生成证书请求文件和私钥文件。

CSR生成地址：https://csr.chinassl.net/generator-csr.html

请妥善保存Key文件，将CSR和Key文件下载

2.登录通配符证书申请网站，使用第一步生成的请求文件申请证书。

https://assl.loovit.com/

3.登录邮箱，确认申请。

需要将红线部分，复制到浏览器中进行确认。

4.确认证书发送的邮箱地址。

5.登录邮箱，将邮件正文中的证书保存为.txt格式的文本文件。

1为确认证书请求的文件，第3步使用的邮件，2里面包含了证书文件。

邮件中的以下部分为证书文件，需要将

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

这部分，复制下来，保存为.txt的证书文件。

6.证书合成PFX文件工具。

https://www.myssl.cn/tools/merge-pfx-cert.html

1合成需要的Key文件为第一步生成的Key。

2合成需要的证书文件为5步保存的证书文件。

免费的阿里云单域名证书（一年期限）：

1.登录阿里云证书管理后台

2.购买证书。

3.补全待完成的证书

4.输入使用的域名

5.输入证书所需要的信息，如果是万网购买的域名，勾选中间部分，使用系统生成CSR。

6.提交审核即可。

7.审核通过后，下载相关的证书文件。