創建虛擬機

首先創建一臺名為“issue-server08R2-192.168.100.112”的虛擬機，操作系統選擇“Windows”→“Microsoft Windows Server 2008 R2（64位）”。

啟動虛擬機

創建完成后打開電源。第一屏一般直接使用默認設置即可，點擊“下一步”。

點擊“現在安裝”。

選擇“Datacenter（完全安裝）”，點擊下一步。

勾選“我接受許可條款”，點擊“下一步”。

點擊“自定義（高級）”。

選擇默認的磁盤0，直接點擊“下一步”。

進入到安裝過程中，中間系統會自動重啟，直到安裝完成。

進入系統

部署完成后，系統會自動進入到登錄頁面。第一屏提示“用戶首次登陸之前必須更改密碼”，點擊“確定”進行更改。

將要修改的密碼輸入兩次，點擊“箭頭”確認并進入系統。

服務器一般都需要使用固定IP地址，在“本地連接”→“屬性”→“TCP/IPv4屬性”中調整虛擬機IP地址和DNS等配置信息。

證書服務器配置

在“初始配置任務”頁面中，點擊“自定義此服務器”下的“添加角色”，開始證書服務器配置。【也可以在“服務器管理器”中，點擊“角色”→“添加角色”進行操作】

添加角色向導的開始之前頁面，可以勾選“默認情況下將跳過此頁”，這樣后續配置時就不會重復彈出了。

選擇服務器角色，勾選“Active Directory證書服務”。

在Active Directory證書服務簡介中提到，一旦安裝，后續將無法更改計算機名稱和域設置。因為我是臨時使用，主要目的是生成證書，后面會創建新的服務器作為域控服務器，在其他場景中使用時請注意。

選擇角色服務，勾選“證書頒發機構”和“證書頒發機構Web注冊”，選擇后者時會彈出提示安裝“Web服務器”和“遠程服務器管理工具”，點擊“添加所需的角色服務”即可。

確認之后勾選成功，點擊“下一步”。

指定安裝類型選擇“獨立”。

指定CA類型選擇“根CA”。

設置私鑰，選擇“新建私鑰”。

為CA配置加密，使用默認配置即可。

配置CA名稱，默認會以服務器計算機名作為名稱，可進行修改。

設置有效期，默認為5年。

配置證書數據庫，使用了默認配置。

在補充安裝的“Web服務器”頁面，直接點擊“下一步”即可。

選擇角色服務無需調整，直接點擊“下一步”。

確認安裝的角色和服務信息，點擊“安裝”。

安裝結果頁面，安裝成功，點擊關閉即可。

在服務器管理器頁面，可以看到服務器已安裝的角色信息。

根證書申請

使用瀏覽器訪問證書申請頁面//192.168.100.112/certsrv/，點擊“下載CA證書、證書鏈或CRL”。

選擇編碼方式為“Base 64”，點擊“下載CA證書”，即可獲取名為“certnew.cer”的根證書文件。

服務器和客戶端身份驗證證書申請

點擊右上角“主頁”，返回主頁。點擊“申請證書”。

在證書申請頁面點擊“高級證書申請”。

不同瀏覽器因為兼容性問題顯示不同，

頁面提示需要使用ActiveX控件，并且需要將CA的網站配置為HTTPS身份認證，點擊“確定”。

在“Internet選項”→“安全”中，添加該站點，并設置“自定義級別”。主要為啟用ActiveX控件等相關設置，否則無法點擊提交。

設置完成后，申請服務器身份驗證證書，識別信息中“國家/地區”處必須填入大寫的“CN”；秘鑰選項中，勾選“標記秘鑰為可導出”，其他保持默認即可，點擊“提交”。

提交之后會提示“證書正在掛起”。

返回到證書申請頁面，申請“客戶端身份驗證證書”，切換“需要的證書類型”為“客戶端身份驗證證書”即可，其他和服務器證書申請相同，注意勾選“標記秘鑰為可導出”。

返回主頁，可以通過“查看掛起的證書申請狀態”查看申請狀態。

點擊進入，可以看到兩次申請。

點進去看到狀態為“證書正在掛起”。

證書頒發

在“服務器管理器”→“角色”→“Active Directory證書服務”下，點擊服務器，可查看“掛起的申請”詳情。

在申請上右擊，選擇“所有任務”→“頒發”，即可完成證書頒發。

證書安裝

返回主頁，再次通過“查看掛起的證書申請狀態”查看申請狀態。

點擊申請，可以看到證書已頒發。

直接點擊“安裝此證書”，即可完成安裝。重復操作完成兩個證書的安裝。

證書導出

打開IE瀏覽器，進入“Internet選項”→“內容”→“證書”，選擇證書后點擊“導出”即可將證書導出為獨立的文件。

證書導出向導的第一屏，直接“下一步”。

導出私鑰，啟動私鑰密碼保護，選擇“是，導出私鑰”。

導出文件格式選擇默認即可。

設置導出密碼，我這里設置為guotiejun，點擊“下一步”。

指定要導出的文件名。點擊瀏覽選擇位置并設置名稱，客戶端證書的名稱我設置成了client，和服務器證書進行區分。

證書導出向導完成，文件生成到指定目錄下。