首先需要下载一个windows server 2012的镜像，安装虚拟机，来进行证书服务安装之前的准备

在进行安装证书服务之前，首先应该安装配置域服务，否则安装证书服务无法正常安装配置，并且应注意在安装配置域服务之前，不能安装其他非主机自带的服务，否则会出现域服务无法正确配置的情况。

接下来进行安装配置

一、域服务

1、安装

1）打开服务器管理器，如下图：

2）添加角色和功能，并且默认下一步

3）选择基于角色和功能的安装，并且默认下一步

4）从服务器池中选择服务器，默认本机，所以直接下一步

5）选择Active Directory域服务，并且添加默认功能

6）默认下一步之后，功能选择项直接选择下一步

7）AD DS界面直接选择下一步，然后确认界面选择安装

8）安装成功，准备配置

2、配置

1）打开域配置界面，点开右上角黄色的小旗子，点击功能安装的蓝色字体，出现界面，并选择将此服务器配置为域服务器进行配置

2）选择添加新的林，名称可以自己随意设定

3）接着设置密码，但要注意前面的功能级别一定要为服务器主机的型号，默认会是自己服务器的型号，但有时也会不一样

4）DNS设置提示无法设置，直接选择下一步，在后面安装过程中会默认自动安装DNS服务器

5）NetBIOS名称系统会自己设定，可以直接选择下一步

6）路径也可以直接使用自己默认指定的路径，直接下一步

7）查看选项，直接下一步，从查看脚本中，可以看到脚本中会自动安装前面没有安装的DNS

8）先决条件检查无误，直接下一步进行安装，这一步如果出现错误，可以根据报错来进行修改，一般都是有其他服务运行出现冲突的结果

9）安装配置

这里安装需要一段时间，配置完成后，主机会自动重启，并且自动开机后，会使用一段时间来更新配置。

3、将域服务器添加到要管理的本地服务器中

1）选择要添加的其他服务器

2）点击后，会查找到服务器，双击选择添加

3）从本地服务器中，可以看到域已经变成了刚才设置的域

至此，域配置成功，接下来安装配置证书服务

二、证书服务

1、安装

步骤和安装域服务类似，所以这里只放截图和一些必要的说明，没有修改的便不写说明了。^_^

选择添加角色和功能

选择Active Directory证书服务

选择添加，前面一步不需要选择，直接下一步

后面都直接点击下一步，直到下面这张图开始安装

安装成功

2、配置

直接点击安装完成界面上的配置目标服务器上的Active Directory证书服务即可。

1）凭据会自动添加，直接点击下一步

2）角色服务将刚才安装的选择

3）指定类型一定要为企业CA，如果这一个选项为灰色不可选，需要看一看域配置是否正确

4）CA类型选择默认，默认为根CA，直接下一步

5）私钥类型选择默认，创建新的私钥，直接下一步

6）选择加密算法，默认即可，默认为SHA1加密算法，当前的计算2048为密钥长度即可

7）CA名称主机会直接默认生成，不用修改默认即可

8）选择有效期，默认为5年

9）数据库位置也会自动生成，下一步

10）CEP身份验证类型，默认下一步

CEP身份验证是一种基于证书密钥的续订的设置，这里不需要考虑，使用默认选择的集成身份验证即可。

11）因为目前并没有设置ssl加密使用的现有证书，所以选择稍后为ssl分配

12）确认，开始配置

13）配置成功

此时，CA证书服务安装配置成功，可以在IIS上面添加证书并开始测试

这是，从主界面右上角工具栏中打开证书颁发机构，可以看到里面存在证书模板这一项，表示配置成功

三、IIS中进行添加签名证书服务测试并验证证书是否是这个服务器主机颁发的

1、在IIS中添加签名证书

1）在工具栏中打开IIS服务器

2）选择服务器证书

3）进行申请，点开之后选择创建证书申请，填写以下信息

4）点击下一步，直接选择一个路径，创建一个文件，只需输入文件名即可，不需要写入内容

5）打开那个文本文档，并复制里面的内容，如下图：

6）复制完成后，从shell里面可以看到本机的ip地址为192.168.122.88,通过访问并输入主机用户名密码可以得到

7）选择申请证书，再选择高级证书申请，选择使用base64编码申请

8）将之前文档中复制的所有内容粘贴到文本框中，证书模板选择“WEB服务器“，并提交申请

9）此时会出现以下页面

10）完成证书申请

先选择下载证书到本地，然后打开IIS管理器，完成证书申请

选择完成证书申请，会出现如下面的表格，文件名为刚才保存的文件地址

此时，就可以看到服务器证书中多了一个我们添加的站点，如下图：

11）查看证书信息如下图

四、可以通过https进行证书验证访问

在IIS里面通过对https进行设置ssl证书为新添加的证书

用浏览器进行查看

可以看到证书的信息的确为刚才添加的证书

**如果不想进入有报错的话，可以将证书导入到证书管理机构中，可以直接通过访问https://lichunliang/来进行测试。

至此，所有设置成功！！！