本次实验为了方便，所有服务都在一台机进行安装配置，后续实际情况根据自己需求进行多台机器配置

实验环境: Window Server 2012 R2   192.168.1.1/24

AD域安装配置

安装服务，然后全部默认下一步，最后点击安装即可

接着将此电脑提升为域控制器

添加新林，按照需求填写

输入密码

接着默认下一步，最后点击安装，注意Administrator账号密码没有配置会导致失败

重启服务器，重启完之后AD域就配置完成

 

IIS服务器申请证书

一般来说IIS服务都会自动安装完成，如果没有的话则自己手动安装，安装并不需要什么特殊组件，全部默认下一步即可

打开iis管理器

点击服务器证书

点击创建证书申请

根据自己的需求填写即可

默认下一步即可

选择保存的位置，此文件将用于后续web注册证书，保存位置要牢记

 

CA证书服务器配置

安装服务

选择角色服务，下一步安装

安装完成之后不要急着点击完成，点击配置证书服务

勾选2个选项

因为是在域环境里，选择企业CA

选择根CA

默认下一步创建密钥

根据需求选择，一般默认选项就能满足

确认无误，下一步

根据需求选择此证书模板的有效期

下一步默认即可，最终选择配置

 

web注册证书

开始打开web进行注册证书，网址为http://192.168.1.1/certsrv

输入管理员账号密码，如果没有该网站，文章后面会进行相关排错教程

遇到警告，点击添加，将该网址添加到信任区即可

登录进去网址之后，点击申请证书

选择高级证书申请

选择使用base64编码提交证书申请

将之前创建的申请证书内容复制到框呢，并选择web证书模块，点击提交

之前在iis申请的证书

接下来就完成了，点击下载证书

另存到桌面上

 

IIS完成证书申请

打开iis管理器

打开服务器证书

点击完成证书申请

选择刚刚存储的位置，并起个名字

开始配置网址ssl

我使用的为默认网页，点击绑定

点击添加，并选择443端口 https 和证书文件

测试访问

成功

 

设置新证书有效期

设置创建证书的默认有效期

遇到类似的需要使用Web Server证书时，我们通过建立的5年有效期的证书模板上创建一个新的证书，本以为也会是5年的有效期，但是，我们会发现，有效期还是默认为2年。

这时候就需要修改注册表

运行打开注册表

路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA服务器名>\ValidityPeriodUnits

双击编辑，修改为10年

打开证书颁发机构管理器

右键点击所有任务——停止服务，再点击启用服务，这样子新证书都是10年有效期了。

 

CA web认证打不开网址排错

打开iis管理器查看网址的子目录是否存在CertSrv

可以看到，是没有的，一般装完CA再装IIS就会出现这种情况

用管理员打开cmd用证书自带的指令恢复一下

 certuril /vroot

再打开iis管理器查看一些，可以看到已经恢复了

接着访问一下，成功